WORM/Rbot.174080 auf PC gefunden. Wie löschen? |
||
---|---|---|
#0
| ||
14.10.2008, 12:20
...neu hier
Beiträge: 5 |
||
|
||
14.10.2008, 15:13
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,Rene_21
« wende Cleaner an + lösche alle temporären Dateien http://www.ccleaner.de/?protecus.de « wende sdfix an - muss im abgesicherten Modus sein - poste dann nach neustart hier den Report http://virus-protect.org/artikel/tools/sdfix.html « wende Combofix an - klicke die Warnmeldung weg, lasse scannen - wird dauern - dann wird der Rechner neustarten - kopiere hier das Log, was erscheint http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.10.2008, 18:45
...neu hier
Themenstarter Beiträge: 5 |
#3
Zitat Sabina postetesdfix Log: SDFix: Version 1.235 Run by Administrator on 14.10.2008 at 17:38 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\Programme\Microsoft Common\wuauclt.exe - Deleted C:\WINDOWS\system32\amp.ini - Deleted C:\WINDOWS\system32\c__0593.nls - Deleted C:\WINDOWS\system32\c__10983.nls - Deleted C:\WINDOWS\system32\c__2303.nls - Deleted C:\WINDOWS\system32\c__23732.nls - Deleted C:\WINDOWS\system32\c__3478.nls - Deleted C:\WINDOWS\system32\c__3480.nls - Deleted C:\WINDOWS\system32\c__3481.nls - Deleted C:\WINDOWS\system32\c__3482.nls - Deleted C:\WINDOWS\system32\c__34895.nls - Deleted C:\WINDOWS\system32\c__374.nls - Deleted C:\WINDOWS\system32\c__3948.nls - Deleted C:\WINDOWS\system32\msiesetup.exe - Deleted C:\WINDOWS\system32\msupdate.dll - Deleted Folder C:\Programme\Microsoft Common - Removed Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-14 17:56:46 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:000000ab "TracesSuccessful"=dword:0000000c scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL" "%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"="%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe:*:Enabled:SIPPS" "%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"="%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe:*:Enabled:sipgateXLite" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\PPLive\\PPLive.exe"="C:\\Programme\\PPLive\\PPLive.exe:*:EnabledPLive" "C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe"="C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "C:\\WINDOWS\\system32\\rhooduw.exe"="C:\\WINDOWS\\system32\\rhooduw.exe:*:Enabled:ENABLE" "C:\\WINDOWS\\system32\\config\\systemprofile\\eqe.exe"="C:\\WINDOWS\\system32\\config\\systemprofile\\eqe.exe:*:Enabled:ENABLE" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Tue 4 Jul 2006 208 A.SHR --- "C:\BOOT.BAK" Wed 1 Jun 2005 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe" Wed 1 Jun 2005 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe" Wed 1 Jun 2005 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe" Wed 6 Dec 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Sun 28 Jan 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Wed 27 Dec 2006 1,384,448 A..H. --- "C:\Dokumente und Einstellungen\Fabien\Lokale Einstellungen\Temp\a001.tmp" Wed 27 Dec 2006 111,616 A..H. --- "C:\Dokumente und Einstellungen\Fabien\Lokale Einstellungen\Temp\PCD62X2.sys" Tue 14 Oct 2008 72 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys" Wed 1 Jun 2005 111,544 A..H. --- "C:\Programme\Gemeinsame Dateien\aolshare\shell\de\shellext.dll" Tue 14 Oct 2008 5,686 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE1.tmp" Tue 14 Oct 2008 5,940 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE2.tmp" Finished! Combofix Log: ComboFix 08-10-12.01 - Papadopolous 2008-10-14 18:26:15.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1458 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Papadopolous\Desktop\op435_54731011\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML . ((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 )))))))))))))))))))))))))))))) . 2008-10-14 17:35 . 2008-10-14 17:35 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-10-14 17:27 . 2008-10-14 17:27 <DIR> d-------- C:\WINDOWS\ERUNT 2008-10-14 17:13 . 2008-10-14 18:11 <DIR> d-------- C:\SDFix 2008-10-14 13:24 . 2008-10-14 13:24 <DIR> d-------- C:\Programme\CCleaner 2008-10-14 10:57 . 2008-10-14 10:57 <DIR> d-------- C:\Programme\Trend Micro 2008-10-14 09:34 . 2008-10-14 09:34 <DIR> d-------- C:\Programme\Avira 2008-10-14 09:34 . 2008-10-14 09:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-10-13 14:48 . 2008-10-13 14:48 30 --a------ C:\WINDOWS\system32\temp.ini 2008-10-13 14:41 . 2008-10-13 14:41 11,264 --a------ C:\WINDOWS\system32\alsym.dll 2008-10-10 22:05 . 2008-10-13 14:40 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-10-10 22:05 . 2008-10-10 22:05 1,409 --a------ C:\WINDOWS\QTFont.for 2008-10-01 10:55 . 2008-10-01 10:55 <DIR> d--hs---- C:\found.000 2008-09-22 14:16 . 2008-09-30 06:31 <DIR> d-------- C:\Programme\avmwlanstick 2008-09-22 14:15 . 2008-09-22 14:38 <DIR> d-------- C:\Programme\AVM_update 2008-09-19 13:26 . 2008-09-19 13:26 <DIR> d-------- C:\Programme\Batch Audio Converter 2008-09-19 13:26 . 2007-05-10 12:30 360,448 --a------ C:\WINDOWS\lame_enc.dll 2008-09-15 15:16 . 2008-10-10 20:07 4,096 --a------ C:\WINDOWS\system32\crash 2008-09-15 15:10 . 2008-09-15 15:10 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-09-15 15:08 . 2008-07-31 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-09-15 15:07 . 2008-09-15 15:07 <DIR> d-------- C:\ATI 2008-09-15 14:53 . 2008-09-15 14:54 84,245,536 --a------ C:\WINDOWS\directx_aug2008_redist.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-14 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-10-14 15:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-10-14 14:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2008-10-14 14:15 --------- d-----w C:\Programme\Symantec 2008-10-14 08:58 --------- d-----w C:\Programme\Java 2008-10-07 14:26 --------- d-----w C:\Programme\Hattrick Organizer 2008-09-22 12:30 --------- d-----w C:\Programme\ICQ6 2008-09-19 11:38 --------- d-----w C:\Programme\Windows Media Connect 2 2008-09-19 11:38 --------- d-----w C:\Programme\VIPER TV PLAYER (v 7.1.1) 2008-09-19 11:38 --------- d-----w C:\Programme\TVUPlayer 2008-09-19 11:38 --------- d-----w C:\Programme\QuickTime 2008-09-19 11:38 --------- d-----w C:\Programme\Microsoft Works 2008-09-19 11:38 --------- d-----w C:\Programme\LimeWire 2008-09-19 11:38 --------- d-----w C:\Programme\AOL 9.0 2008-09-01 16:32 305,672 ----a-w C:\WINDOWS\dxwebsetup.exe 2008-08-31 16:54 --------- d-----w C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\ICQ 2008-08-29 18:45 --------- d-----w C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\TVU Networks 2008-08-29 18:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks 2008-08-28 13:15 --------- d-----w C:\Dokumente und Einstellungen\Fabien\Anwendungsdaten\ICQ 2008-08-27 02:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems 2008-08-27 02:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2008-08-24 11:20 --------- d-----w C:\Programme\Microsoft Silverlight 2008-08-10 22:09 97,288 ----a-w C:\WINDOWS\DSETUP.dll 2008-08-10 22:09 528,392 ----a-w C:\WINDOWS\DXSETUP.exe 2008-08-10 22:09 1,694,728 ----a-w C:\WINDOWS\dsetup32.dll 2008-08-01 06:38 3,266,560 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys 2008-08-01 05:40 9,928,704 ----a-w C:\WINDOWS\system32\atioglxx.dll 2008-08-01 04:58 253,952 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2008-08-01 04:33 425,984 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2008-08-01 04:32 311,296 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2008-08-01 04:23 184,320 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2008-08-01 04:23 143,360 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2008-08-01 04:22 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2008-08-01 04:22 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2008-08-01 04:22 143,360 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2008-08-01 04:21 573,440 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2008-08-01 04:19 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2008-08-01 04:10 3,917,568 ----a-w C:\WINDOWS\system32\dllcache\ati3duag.dll 2008-08-01 04:10 3,917,568 ----a-w C:\WINDOWS\system32\ati3duag.dll 2008-08-01 03:59 2,183,552 ----a-w C:\WINDOWS\system32\dllcache\ativvaxx.dll 2008-08-01 03:59 2,183,552 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2008-08-01 03:46 48,640 ----a-w C:\WINDOWS\system32\amdpcom32.dll 2008-08-01 03:42 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll 2008-08-01 03:40 35,328 ----a-w C:\WINDOWS\system32\atiadlxx.dll 2008-08-01 03:40 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2008-08-01 03:39 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2008-08-01 03:34 561,152 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2008-07-31 08:41 68,616 ----a-w C:\WINDOWS\system32\XAPOFX1_1.dll 2008-07-31 08:41 238,088 ----a-w C:\WINDOWS\system32\xactengine3_2.dll 2008-07-31 08:40 509,448 ----a-w C:\WINDOWS\system32\XAudio2_2.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-03-25 23:35 1,339,904 ----a-w C:\Programme\Shakespeare_life_&_works.doc 2008-03-25 23:35 1,096,192 ----a-w C:\Programme\elizabethan_correspondence.doc 2007-07-27 17:57 7,365,120 ----a-w C:\Programme\MM26_GER.msi 2007-07-27 17:51 155,620 ----a-w C:\Programme\mm20deu.exe 2006-11-04 20:03 36 ----a-w C:\Dokumente und Einstellungen\Papadopolous\klextlock.dat 2008-07-02 17:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070220080703\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="C:\APPS\SMP\SmpSys.exe" [2005-11-17 975360] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584] "ATICCC"="c:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "DetectorApp"="C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-03-07 53096] "OmniPass"="C:\Apps\Softex\OmniPass\scureapp.exe" [2006-01-30 1978368] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576] "QuickTime Task"="C:\Programme\VistaCodecPack\QT\QTTask.exe" [2008-02-01 385024] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-29 185896] "ioCentre"="C:\Genius\ioCentre\gTaskBar.exe" [2007-12-17 61440] "AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\Fabien\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-01 113664] Adobe Media Player.lnk - C:\Programme\Adobe Media Player\Adobe Media Player.exe [2008-08-10 260096] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-01 113664] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] NETGEAR WG111T Smart Wizard.lnk - C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe [2006-12-24 491609] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina] 2006-01-30 08:53 49152 C:\APPS\Softex\OmniPass\OPXPGina.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\alsym] 2008-10-13 14:41 11264 C:\WINDOWS\system32\alsym.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm "msacm.mpegacm"= mpegacm.acm "msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm "msacm.mpegacm "= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\mpegacm.acm "vidc.3IV2"= 3ivxVfWCodec.dll "msacm.divxa32"= divxa32.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\\AOL 9.0\\aol.exe"= "%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"= "%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"= "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\PPLive\\PPLive.exe"= "C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "27501:TCP"= 27501:TCP:BitComet 27501 TCP "27501:UDP"= 27501:UDP:BitComet 27501 UDP "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:@xpsp2res.dll,-22017 R1 SSHDRV62;SSHDRV62;C:\WINDOWS\system32\drivers\SSHDRV62.sys [2006-12-25 108032] R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456] R2 Viewpoint Manager Service;Viewpoint Manager Service;C:\Programme\Viewpoint\Common\ViewpointService.exe [2007-01-04 24652] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-17 825600] R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 265088] R3 gHidPnp;USB Device Enhanced Function Driver;C:\WINDOWS\system32\Drivers\gHidPnp.Sys [2008-04-01 16896] R3 gMouUsb;USB Mouse Device Drv;C:\WINDOWS\system32\DRIVERS\gMouUsb.sys [2007-07-20 9856] R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040] S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 4352] S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 17149] S3 gMouPS2;PS2 Scroll Mouse Device;C:\WINDOWS\system32\DRIVERS\gMouPS2.sys [2006-07-12 17408] S3 PCD62X2;PCD62X2;C:\DOKUME~1\Fabien\LOKALE~1\Temp\PCD62X2.sys [ ] S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 61504] S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328] S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 97056] *Newly Created Service* - COMHOST *Newly Created Service* - PROCEXP90 . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\Mozilla\Firefox\Profiles\eiaal3ns.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.icq.com/ FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - c:\Programme\Microsoft Silverlight\2.0.30523.8\npctrl.dll FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin.dll FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin2.dll FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin3.dll FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin4.dll FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin5.dll FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin6.dll FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin7.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-14 18:28:27 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\system32\winlogon.exe -> C:\Apps\Softex\OmniPass\opxpgina.dll . Zeit der Fertigstellung: 2008-10-14 18:30:00 ComboFix-quarantined-files.txt 2008-10-14 16:29:47 Vor Suchlauf: 15 Verzeichnis(se), 227.489.427.456 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 227,836,657,664 Bytes frei 238 --- E O F --- 2008-10-14 10:48:51 |
|
|
||
15.10.2008, 03:10
Moderator
Beiträge: 5694 |
#4
>>
Lass folgende Dateien bei www.virustotal.com/de prüfen und poste das Ergebins: C:\WINDOWS\system32\alsym.dll C:\WINDOWS\system32\temp.ini Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html Gruss Swiss |
|
|
||
15.10.2008, 11:17
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo,Rene_21
auf dem Rechner ist ein Trojan-Banker http://www.threatexpert.com/report.aspx?uid=e548e275-ebca-400e-a8c7-8fa9b087e6c6 ----------- 1. Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\rhooduw.exe C:\WINDOWS\system32\config\systemprofile\eqe.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren (das ist wahrscheinlich auch Malware .... ich warte mal ab mit dem Löschen - bis die Resultate kommen) ------------------------------------------------------------------ 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu 3. in C:\ComboFix.txt ist alles gespeichert, kopiere es ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.10.2008, 12:34
...neu hier
Themenstarter Beiträge: 5 |
#6
Zitat Tonstudio posteteC:\WINDOWS\system32\alsym.dll: Ergebnis: 1/36 (2.78%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.15.0 2008.10.15 - AntiVir 7.8.1.34 2008.10.14 - Authentium 5.1.0.4 2008.10.15 - Avast 4.8.1248.0 2008.10.15 - AVG 8.0.0.161 2008.10.15 - BitDefender 7.2 2008.10.15 - CAT-QuickHeal 9.50 2008.10.14 - ClamAV 0.93.1 2008.10.15 - DrWeb 4.44.0.09170 2008.10.15 - eSafe 7.0.17.0 2008.10.12 - eTrust-Vet 31.6.6148 2008.10.14 - Ewido 4.0 2008.10.14 - F-Prot 4.4.4.56 2008.10.14 - F-Secure 8.0.14332.0 2008.10.15 - Fortinet 3.113.0.0 2008.10.14 - GData 19 2008.10.15 - Ikarus T3.1.1.34.0 2008.10.15 - K7AntiVirus 7.10.493 2008.10.14 - Kaspersky 7.0.0.125 2008.10.15 - McAfee 5405 2008.10.14 - Microsoft 1.4005 2008.10.15 - NOD32 3522 2008.10.14 - Norman 5.80.02 2008.10.14 - Panda 9.0.0.4 2008.10.14 - PCTools 4.4.2.0 2008.10.14 Trojan.Clagger.H Prevx1 V2 2008.10.15 - Rising 20.66.12.00 2008.10.14 - SecureWeb-Gateway 6.7.6 2008.10.15 - Sophos 4.34.0 2008.10.15 - Sunbelt 3.1.1722.1 2008.10.14 - Symantec 10 2008.10.15 - TheHacker 6.3.1.0.112 2008.10.15 - TrendMicro 8.700.0.1004 2008.10.14 - VBA32 3.12.8.6 2008.10.14 - ViRobot 2008.10.14.1419 2008.10.14 - VirusBuster 4.5.11.0 2008.10.14 - C:\WINDOWS\system32\temp.ini: Ergebnis: 0/36 (0.00%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.15.0 2008.10.15 - AntiVir 7.8.1.34 2008.10.14 - Authentium 5.1.0.4 2008.10.14 - Avast 4.8.1248.0 2008.10.15 - AVG 8.0.0.161 2008.10.15 - BitDefender 7.2 2008.10.15 - CAT-QuickHeal 9.50 2008.10.14 - ClamAV 0.93.1 2008.10.15 - DrWeb 4.44.0.09170 2008.10.15 - eSafe 7.0.17.0 2008.10.12 - eTrust-Vet 31.6.6148 2008.10.14 - Ewido 4.0 2008.10.14 - F-Prot 4.4.4.56 2008.10.14 - F-Secure 8.0.14332.0 2008.10.15 - Fortinet 3.113.0.0 2008.10.14 - GData 19 2008.10.15 - Ikarus T3.1.1.34.0 2008.10.15 - K7AntiVirus 7.10.493 2008.10.14 - Kaspersky 7.0.0.125 2008.10.15 - McAfee 5405 2008.10.14 - Microsoft 1.4005 2008.10.15 - NOD32 3522 2008.10.14 - Norman 5.80.02 2008.10.14 - Panda 9.0.0.4 2008.10.14 - PCTools 4.4.2.0 2008.10.14 - Prevx1 V2 2008.10.15 - Rising 20.66.12.00 2008.10.14 - SecureWeb-Gateway 6.7.6 2008.10.15 - Sophos 4.34.0 2008.10.15 - Sunbelt 3.1.1722.1 2008.10.14 - Symantec 10 2008.10.15 - TheHacker 6.3.1.0.112 2008.10.15 - TrendMicro 8.700.0.1004 2008.10.14 - VBA32 3.12.8.6 2008.10.14 - ViRobot 2008.10.14.1419 2008.10.14 - VirusBuster 4.5.11.0 2008.10.14 - Zitat Tonstudio posteteMalwarebytes Log: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1270 Windows 5.1.2600 Service Pack 3 15.10.2008 12:25:11 mbam-log-2008-10-15 (12-25-11).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 215132 Laufzeit: 2 hour(s), 27 minute(s), 49 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\Portal\0767523A.tmp (Worm.P2P) -> Quarantined and deleted successfully. EDIT: Erstmal Danke an Sabina und Tonstudio für die tolle Hilfe. Der PC laüft schon wieder viel stabiler und schneller als noch Vorgestern. Die Symptome die ich im Ausgangspost beschrieben habe tauchen auch nicht mehr auf. Ich weiß das hier sehr zu schätzen. «« Das muss er sein, da wie in der Beschreibung Winlogon sehr auffällig war und deswegen der CPU zu 99% ausgelastet war. Zitat Sabina posteteBeide Dateien konnten nicht gefunden werden und deshalb auch nicht an Virustotal gesendet werden (?). 3. Hier der Combofix Log: ComboFix 08-10-14.07 - Papadopolous 2008-10-15 13:14:25.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1516 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Papadopolous\Desktop\op435_54731011\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Papadopolous\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE :: C:\WINDOWS\system32\alsym.dll C:\WINDOWS\system32\temp.ini . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\system32\alsym.dll C:\WINDOWS\system32\temp.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-09-15 bis 2008-10-15 )))))))))))))))))))))))))))))) . 2008-10-15 04:55 . 2008-10-15 04:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-15 04:55 . 2008-10-15 04:55 <DIR> d-------- C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\Malwarebytes 2008-10-15 04:55 . 2008-10-15 04:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-15 04:55 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-15 04:55 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-14 17:35 . 2008-10-14 17:35 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-10-14 17:27 . 2008-10-14 17:27 <DIR> d-------- C:\WINDOWS\ERUNT 2008-10-14 17:13 . 2008-10-14 18:39 <DIR> d-------- C:\SDFix 2008-10-14 13:24 . 2008-10-14 13:24 <DIR> d-------- C:\Programme\CCleaner 2008-10-14 10:57 . 2008-10-14 10:57 <DIR> d-------- C:\Programme\Trend Micro 2008-10-14 09:34 . 2008-10-14 09:34 <DIR> d-------- C:\Programme\Avira 2008-10-14 09:34 . 2008-10-14 09:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-10-10 22:05 . 2008-10-13 14:40 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-10-10 22:05 . 2008-10-10 22:05 1,409 --a------ C:\WINDOWS\QTFont.for 2008-10-01 10:55 . 2008-10-01 10:55 <DIR> d--hs---- C:\found.000 2008-09-22 14:16 . 2008-09-30 06:31 <DIR> d-------- C:\Programme\avmwlanstick 2008-09-22 14:15 . 2008-09-22 14:38 <DIR> d-------- C:\Programme\AVM_update 2008-09-19 13:26 . 2008-09-19 13:26 <DIR> d-------- C:\Programme\Batch Audio Converter 2008-09-19 13:26 . 2007-05-10 12:30 360,448 --a------ C:\WINDOWS\lame_enc.dll 2008-09-15 15:16 . 2008-10-15 11:03 4,096 --a------ C:\WINDOWS\system32\crash 2008-09-15 15:10 . 2008-09-15 15:10 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-09-15 15:08 . 2008-07-31 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-09-15 15:07 . 2008-09-15 15:07 <DIR> d-------- C:\ATI 2008-09-15 14:53 . 2008-09-15 14:54 84,245,536 --a------ C:\WINDOWS\directx_aug2008_redist.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-14 19:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-10-14 19:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2008-10-14 15:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-10-14 08:58 --------- d-----w C:\Programme\Java 2008-10-07 14:26 --------- d-----w C:\Programme\Hattrick Organizer 2008-09-22 12:30 --------- d-----w C:\Programme\ICQ6 2008-09-19 11:38 --------- d-----w C:\Programme\Windows Media Connect 2 2008-09-19 11:38 --------- d-----w C:\Programme\VIPER TV PLAYER (v 7.1.1) 2008-09-19 11:38 --------- d-----w C:\Programme\TVUPlayer 2008-09-19 11:38 --------- d-----w C:\Programme\QuickTime 2008-09-19 11:38 --------- d-----w C:\Programme\PokerStars.NET 2008-09-19 11:38 --------- d-----w C:\Programme\Microsoft Works 2008-09-19 11:38 --------- d-----w C:\Programme\LimeWire 2008-09-19 11:38 --------- d-----w C:\Programme\AOL 9.0 2008-09-01 16:32 305,672 ----a-w C:\WINDOWS\dxwebsetup.exe 2008-08-31 16:54 --------- d-----w C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\ICQ 2008-08-29 18:45 --------- d-----w C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\TVU Networks 2008-08-29 18:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks 2008-08-28 13:15 --------- d-----w C:\Dokumente und Einstellungen\Fabien\Anwendungsdaten\ICQ 2008-08-27 02:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems 2008-08-27 02:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2008-08-24 11:20 --------- d-----w C:\Programme\Microsoft Silverlight 2008-08-10 22:09 97,288 ----a-w C:\WINDOWS\DSETUP.dll 2008-08-10 22:09 528,392 ----a-w C:\WINDOWS\DXSETUP.exe 2008-08-10 22:09 1,694,728 ----a-w C:\WINDOWS\dsetup32.dll 2008-03-25 23:35 1,339,904 ----a-w C:\Programme\Shakespeare_life_&_works.doc 2008-03-25 23:35 1,096,192 ----a-w C:\Programme\elizabethan_correspondence.doc 2007-07-27 17:57 7,365,120 ----a-w C:\Programme\MM26_GER.msi 2007-07-27 17:51 155,620 ----a-w C:\Programme\mm20deu.exe 2006-11-04 20:03 36 ----a-w C:\Dokumente und Einstellungen\Papadopolous\klextlock.dat 2008-07-02 17:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070220080703\index.dat . ((((((((((((((((((((((((((((( snapshot@2008-10-14_18.29.22,82 ))))))))))))))))))))))))))))))))))))))))) . - 2008-10-14 15:52:12 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-10-15 11:20:00 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-10-14 15:52:12 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-10-15 11:20:00 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-10-14 15:52:12 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-10-15 11:20:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="C:\APPS\SMP\SmpSys.exe" [2005-11-17 975360] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584] "ATICCC"="c:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "DetectorApp"="C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400] "OmniPass"="C:\Apps\Softex\OmniPass\scureapp.exe" [2006-01-30 1978368] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576] "QuickTime Task"="C:\Programme\VistaCodecPack\QT\QTTask.exe" [2008-02-01 385024] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-29 185896] "ioCentre"="C:\Genius\ioCentre\gTaskBar.exe" [2007-12-17 61440] "AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\Fabien\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-01 113664] Adobe Media Player.lnk - C:\Programme\Adobe Media Player\Adobe Media Player.exe [2008-08-10 260096] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-01 113664] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] NETGEAR WG111T Smart Wizard.lnk - C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe [2006-12-24 491609] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina] 2006-01-30 08:53 49152 C:\APPS\Softex\OmniPass\OPXPGina.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm "msacm.mpegacm"= mpegacm.acm "msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm "msacm.mpegacm "= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\mpegacm.acm "vidc.3IV2"= 3ivxVfWCodec.dll "msacm.divxa32"= divxa32.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\\AOL 9.0\\aol.exe"= "%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"= "%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"= "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\PPLive\\PPLive.exe"= "C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "27501:TCP"= 27501:TCP:BitComet 27501 TCP "27501:UDP"= 27501:UDP:BitComet 27501 UDP "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:@xpsp2res.dll,-22017 R1 SSHDRV62;SSHDRV62;C:\WINDOWS\system32\drivers\SSHDRV62.sys [2006-12-25 108032] R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456] R2 Viewpoint Manager Service;Viewpoint Manager Service;C:\Programme\Viewpoint\Common\ViewpointService.exe [2007-01-04 24652] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-17 825600] R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 265088] R3 gHidPnp;USB Device Enhanced Function Driver;C:\WINDOWS\system32\Drivers\gHidPnp.Sys [2008-04-01 16896] R3 gMouUsb;USB Mouse Device Drv;C:\WINDOWS\system32\DRIVERS\gMouUsb.sys [2007-07-20 9856] R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040] S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 4352] S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 17149] S3 gMouPS2;PS2 Scroll Mouse Device;C:\WINDOWS\system32\DRIVERS\gMouPS2.sys [2006-07-12 17408] S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528] S3 PCD62X2;PCD62X2;C:\DOKUME~1\Fabien\LOKALE~1\Temp\PCD62X2.sys [ ] S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 61504] S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328] S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 97056] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-15 13:21:46 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\system32\winlogon.exe -> C:\Apps\Softex\OmniPass\opxpgina.dll . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe C:\Programme\avmwlanstick\WLanNetService.exe C:\WINDOWS\ehome\ehrecvr.exe C:\WINDOWS\ehome\ehSched.exe C:\APPS\Softex\OmniPass\OmniServ.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\system32\dllhost.exe C:\APPS\Softex\OmniPass\OPXPApp.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\WINDOWS\ehome\ehmsas.exe C:\APPS\ABOARD\AOSD.EXE C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-15 13:31:10 - PC wurde neu gestartet [Papadopolous] ComboFix-quarantined-files.txt 2008-10-15 11:30:07 ComboFix2.txt 2008-10-14 16:30:01 Vor Suchlauf: 24 Verzeichnis(se), 227,933,937,664 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 227,921,264,640 Bytes frei 216 --- E O F --- 2008-10-14 10:48:51 Dieser Beitrag wurde am 15.10.2008 um 14:10 Uhr von Rene_21 editiert.
|
|
|
||
15.10.2008, 14:42
Ehrenmitglied
Beiträge: 29434 |
#7
««
erstelle eine neue cfscript.txt - dann wieder auf Combofix ziehen Zitat KILLALL::überprüfe nach Neustart, ob di zwei Einträge wirklich aus der Registry sind.... Start - Ausführen - regedit suchen: rhooduw.exe und eqe.exe --------- «« wende findykill an - OPTION 1 - und poste den report C:\FindyKill.txt http://virus-protect.org/artikel/tools/findykill.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.10.2008, 16:17
...neu hier
Themenstarter Beiträge: 5 |
#8
Zitat Sabina posteteBeide Dateien konnten nach dem Neustart nicht mehr gefunden werden Zitat Sabina postete----------------- FindyKill V4.005 ------------------ * User : Papadopolous - SN116942760312 * Emplacement : C:\Programme\FindyKill * Outils Mis a jours le 15/10/08 par Chiquitine29 * Recherche effectuée à 16:12:43 le 15.10.2008 * Windows XP - Internet Explorer 7.0.5730.11 ((((((((((((((((( *** Recherche *** )))))))))))))))))) --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe C:\Programme\Viewpoint\Common\ViewpointService.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\Apps\Softex\OmniPass\OPXPApp.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Apps\Softex\OmniPass\scureapp.exe C:\apps\ABoard\ABoard.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\avmwlanstick\wlangui.exe C:\apps\ABoard\AOSD.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\APPS\SMP\SmpSys.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wscntfy.exe --------------- [ Fichiers/Dossiers infectieux ] ---------------- »»»» Presence des fichiers dans C: »»»» Presence des fichiers dans C:\WINDOWS »»»» Presence des fichiers dans C:\WINDOWS\Prefetch Present ! - C:\WINDOWS\prefetch\MDELK.EXE-37E6BD52.pf »»»» Presence des fichiers dans C:\WINDOWS\system32 »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers »»»» Presence des fichiers dans C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten »»»» Presence des fichiers dans C:\DOKUME~1\PAPADO~1\LOKALE~1\Temp --------------- [ Registre / Startup ] ---------------- ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName ehTray REG_SZ C:\WINDOWS\ehome\ehtray.exe High Definition Audio Property Page Shortcut REG_SZ HDAShCut.exe RTHDCPL REG_SZ RTHDCPL.EXE ATICCC REG_SZ "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay SunJavaUpdateSched REG_SZ "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" DetectorApp REG_SZ C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe OmniPass REG_SZ C:\Apps\Softex\OmniPass\scureapp.exe IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32" ACTIVBOARD REG_SZ c:\apps\ABoard\ABoard.exe QuickTime Task REG_SZ "C:\Programme\VistaCodecPack\QT\QTTask.exe" -atboottime TkBellExe REG_SZ "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot ioCentre REG_SZ C:\Genius\ioCentre\gTaskBar.exe AVMWlanClient REG_SZ C:\Programme\avmwlanstick\wlangui.exe avgnt REG_SZ "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run SmpcSys REG_SZ C:\APPS\SMP\SmpSys.exe MsnMsgr REG_SZ "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe updateMgr REG_SZ "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 ICQ REG_SZ "C:\Programme\ICQ6\ICQ.exe" silent --------------- [ Registre / Clés infectieuses ] ---------------- --------------- [ Etat / Services ] ---------------- +- Services : [ Auto=2 Demande=3 Désactivé=4 ] Ndisuio - Type de démarrage = 3 EapHost - Type de démarrage = 3 Ip6Fw - Type de démarrage = 3 SharedAccess - Type de démarrage = 2 wuauserv - Type de démarrage = 2 wscsvc - Type de démarrage = 2 --------------- [ Recherche dans supports amovibles] ---------------- +- Informations : C: - Eingebautes Laufwerk +- presence des fichiers : --------------- [ Registre / Moutpoint2 ] ---------------- -> Recherche négative. ------------------- ! Fin du rapport ! -------------------- |
|
|
||
15.10.2008, 20:22
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo Rene_21
du hattest mal einen Beagle-Wurm auf dem Rechner ??? «« lösche: C:\WINDOWS\prefetch\MDELK.EXE-37E6BD52.pf «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\«« wende stuff an + poste den Report http://virus-protect.org/registry_stuff.html «« scanne mit avira im abgesicherten modus - Heuristik bitte hoch stellen - poste hier den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.10.2008, 15:54
...neu hier
Themenstarter Beiträge: 5 |
#10
Zitat Sabina postetehab ich gemacht Zitat ««doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork ----------------------- ----------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00 "DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00 "Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz." "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:00002cd9 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015" "1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016" "500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 "DoNotAllowExceptions"=dword:00000000 "DisableNotifications"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL" "%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"="%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe:*:Enabled:SIPPS" "%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"="%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe:*:Enabled:sipgateXLite" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\PPLive\\PPLive.exe"="C:\\Programme\\PPLive\\PPLive.exe:*:EnabledPLive" "C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe"="C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "27501:TCP"="27501:TCP:*:Enabled:BitComet 27501 TCP" "27501:UDP"="27501:UDP:*:Enabled:BitComet 27501 UDP" "1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008" "139:TCP"="139:TCP:LocalSubNetisabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:LocalSubNetisabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:LocalSubNetisabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:LocalSubNetisabled:@xpsp2res.dll,-22002" "1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015" "1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016" "500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "{FE34CF6E-BA80-47D3-9A5D-778F95B10B9E}"=dword:00000001 "{C96AA1A9-7CA6-4CEB-B6F7-2244B0BCE8A4}"=dword:00000001 "{9D5951CA-9F5E-4129-A568-E7B339C15AC7}"=dword:00000001 "{263C530C-27BD-46F2-BC67-70BA2CB8C012}"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Sicherheitscenter" "DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00 "ObjectName"="LocalSystem" "Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\ 33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "autodisconnect"=dword:0000000f "enableforcedlogoff"=dword:00000001 "enablesecuritysignature"=dword:00000000 "requiresecuritysignature"=dword:00000000 "NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\ 4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\ 6f,77,73,65,72,00,00 "NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00 "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00 "Lmannounce"=dword:00000000 "Size"=dword:00000002 "Guid"=hex:3b,35,8a,c1,a2,c2,a7,4e,8d,65,1f,c4,44,e7,a2,1b "AdjustedNullSessionPipes"=dword:00000001 "CachedOpenLimit"=dword:00000000 "srvcomment"="mein pc" "DisableDos"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00 "OtherDomains"=hex(7):00 [HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa] [HKEY_CURRENT_USER\Software\Microsoft\OLE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger] "Type"=dword:00000020 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Nachrichtendienst" "DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\ 4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00 "DependOnGroup"=hex(7):00 "ObjectName"="LocalSystem" "Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry] "Description"="Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können." "DependOnService"=hex(7):52,50,43,53,53,00,00 "DisplayName"="Remote-Registrierung" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,4c,6f,63,61,6c,53,65,72,\ 76,69,63,65,00 "ObjectName"="NT AUTHORITY\\LocalService" "Group"="" "Start"=dword:00000002 "Type"=dword:00000020 "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,e0,ad,08,\ 00,01,00,00,00,e8,03,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\ 33,32,5c,72,65,67,73,76,63,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Enum] "0"="Root\\LEGACY_REMOTEREGISTRY\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr] "Type"=dword:00000010 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 74,6c,6e,74,73,76,72,2e,65,78,65,00 "DisplayName"="Telnet" "DependOnService"=hex(7):52,50,43,53,53,00,54,43,50,49,50,00,4e,54,4c,4d,53,53,\ 50,00,00 "DependOnGroup"=hex(7):00 "ObjectName"="LocalSystem" "Description"=hex(2):45,72,6d,f6,67,6c,69,63,68,74,20,65,69,6e,65,6d,20,52,65,\ 6d,6f,74,65,62,65,6e,75,74,7a,65,72,2c,20,73,69,63,68,20,61,6e,20,64,69,65,\ 73,65,6d,20,43,6f,6d,70,75,74,65,72,20,61,6e,7a,75,6d,65,6c,64,65,6e,20,75,\ 6e,64,20,50,72,6f,67,72,61,6d,6d,65,20,61,75,73,7a,75,66,fc,68,72,65,6e,2e,\ 20,55,6e,74,65,72,73,74,fc,74,7a,74,20,76,65,72,73,63,68,69,65,64,65,6e,65,\ 20,54,43,50,2f,49,50,2d,54,65,6c,6e,65,74,63,6c,69,65,6e,74,73,2c,20,65,69,\ 6e,73,63,68,6c,69,65,df,6c,69,63,68,20,55,4e,49,58,2d,62,61,73,69,65,72,74,\ 65,6e,20,75,6e,64,20,57,69,6e,64,6f,77,73,2d,62,61,73,69,65,72,74,65,6e,20,\ 43,6f,6d,70,75,74,65,72,6e,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,\ 65,6e,73,74,20,61,6e,67,65,68,61,6c,74,65,6e,20,77,69,72,64,2c,20,69,73,74,\ 20,64,65,72,20,52,65,6d,6f,74,65,7a,75,67,72,69,66,66,20,6d,f6,67,6c,69,63,\ 68,65,72,77,65,69,73,65,20,6e,69,63,68,74,20,6d,65,68,72,20,76,65,72,66,fc,\ 67,62,61,72,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,65,6e,73,74,20,\ 64,65,61,6b,74,69,76,69,65,72,74,20,77,69,72,64,2c,20,6b,f6,6e,6e,65,6e,20,\ 61,6c,6c,65,20,44,69,65,6e,73,74,65,2c,20,64,69,65,20,65,78,70,6c,69,7a,69,\ 74,20,76,6f,6e,20,64,69,65,73,65,6d,20,44,69,65,6e,73,74,20,61,62,68,e4,6e,\ 67,65,6e,2c,20,6e,69,63,68,74,20,6d,65,68,72,20,67,65,73,74,61,72,74,65,74,\ 20,77,65,72,64,65,6e,2e,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\ 00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\ 00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00 "MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\ 00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\ 00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,20,02,00,00 "MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\ 00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00 "EnableDCOM"="Y" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList] "{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1" "{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1" "{0040D221-54A1-11D1-9DE0-006097042D69}"="1" "{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST] "System.EnterpriseServices.Thunk.dll"="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00 "Bounds"=hex:00,30,00,00,00,20,00,00 "Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\ 63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00 "ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001 "LsaPid"=dword:0000030c "SecureBoot"=dword:00000001 "auditbaseobjects"=dword:00000000 "crashonauditfail"=dword:00000000 "disabledomaincreds"=dword:00000000 "everyoneincludesanonymous"=dword:00000000 "fipsalgorithmpolicy"=dword:00000000 "forceguest"=dword:00000001 "fullprivilegeauditing"=hex:00 "limitblankpassworduse"=dword:00000000 "lmcompatibilitylevel"=dword:00000000 "nodefaultadminowner"=dword:00000001 "nolmhash"=dword:00000000 "restrictanonymous"=dword:00000000 "restrictanonymoussam"=dword:00000001 "Notification Packages"=hex(7):73,63,65,63,6c,69,00,00 "enabledcom"="y" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders] "ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\ 50,72,6f,76,69,64,65,72,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider] "ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\ 33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data] "Pattern"=hex:3b,bf,d9,72,a8,71,95,0a,00,8b,7e,99,f2,f8,08,3e,62,32,36,62,61,\ 33,31,61,00,00,00,00,a0,ef,00,00,18,ca,06,00,99,d0,b7,71,04,ca,06,00,10,00,\ 00,00,00,00,00,00,f6,91,9b,e4,ea,bc,6b,ff,05,34,77,b2 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG] "GrafBlumGroup"=hex:4d,48,21,da,a8,cd,e1,e1,e7 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD] "Lookup"=hex:9c,3d,b8,c5,3b,7a [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0] "Auth132"="IISSUBA" "ntlmminclientsec"=dword:00000000 "ntlmminserversec"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1] "SkewMatrix"=hex:c5,29,51,43,ae,17,cd,93,e7,89,2a,ec,b4,ab,3f,d0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4] "SSOURL"="http://www.passport.com" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache] "Time"=hex:fe,84,23,c9,6b,dc,c8,01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll] "Name"="Digest" "Comment"="Digest SSPI Authentication Package" "Capabilities"=dword:00004050 "RpcId"=dword:0000ffff "Version"=dword:00000001 "TokenSize"=dword:0000ffff "Time"=hex:80,de,1a,57,d6,9d,c8,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll] "Name"="DPA" "Comment"="DPA Security Package" "Capabilities"=dword:00000037 "RpcId"=dword:00000011 "Version"=dword:00000001 "TokenSize"=dword:00000300 "Time"=hex:00,fc,46,5b,d6,9d,c8,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll] "Name"="MSN" "Comment"="MSN Security Package" "Capabilities"=dword:00000037 "RpcId"=dword:00000012 "Version"=dword:00000001 "TokenSize"=dword:00000300 "Time"=hex:80,92,df,5b,d6,9d,c8,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled"=dword:00000001 "AntiVirusDisableNotify"=dword:00000000 "FirewallDisableNotify"=dword:00000000 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] Zitat ««Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 16. Oktober 2008 12:42 Es wird nach 1686641 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Abgesicherter Modus Benutzername: Administrator Computername: SN116942760312 Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15 ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 07:38:53 ANTIVIR3.VDF : 7.0.7.46 243200 Bytes 16.10.2008 07:38:07 Engineversion : 8.2.0.4 AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 07:38:15 AESCRIPT.DLL : 8.1.1.8 319866 Bytes 16.10.2008 07:38:14 AESCN.DLL : 8.1.1.3 123252 Bytes 16.10.2008 07:38:13 AERDL.DLL : 8.1.1.2 438644 Bytes 14.10.2008 07:39:42 AEPACK.DLL : 8.1.2.4 369014 Bytes 16.10.2008 07:38:13 AEOFFICE.DLL : 8.1.0.28 196987 Bytes 16.10.2008 07:38:12 AEHEUR.DLL : 8.1.0.59 1438071 Bytes 14.10.2008 07:39:26 AEHELP.DLL : 8.1.1.2 115062 Bytes 16.10.2008 07:38:11 AEGEN.DLL : 8.1.0.41 319861 Bytes 16.10.2008 07:38:10 AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 07:38:09 AECORE.DLL : 8.1.2.6 172406 Bytes 16.10.2008 07:38:08 AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 07:38:08 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 14.10.2008 07:39:04 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Donnerstag, 16. Oktober 2008 12:42 Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OPXPApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '12' Prozesse mit '12' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '78' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HDD> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\admparse.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\advpack.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\browseui.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\corpol.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\custsat.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\dxtmsft.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\dxtrans.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\extmgr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\hmmapi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\icardie.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ie4uinit.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieakeng.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieaksie.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieakui.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieapfltr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\iedkcs32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\iedw.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieencode.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieframe.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\iepeers.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieproxy.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\iernonce.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\iertutil.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\iesetup.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieudinit.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\ieui.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\iexplore.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\imgutil.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\inseng.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\jscript.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\jsproxy.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\licmgr10.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\msfeeds.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\msfeedsbs.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\msfeedssync.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\mshta.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\mshtml.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\mshtmled.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\mshtmler.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\msls31.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\msrating.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\mstime.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\occache.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\pngfilt.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\shdocvw.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\shlwapi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\spmsg.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\spupdsvc.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\url.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\urlmon.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\vbscript.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\vgx.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\webcheck.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\winfxdocobj.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\f3feecbf833e5f4d727a9713\wininet.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\FindyKill\Tools\hldrrr.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.PsKill.2 [HINWEIS] Die Datei wurde gelöscht. C:\SDFix\backups\backups.zip [0] Archivtyp: ZIP --> backups/msupdate.dll [FUND] Ist das Trojanische Pferd TR/Banker.Banker.alr.K [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Donnerstag, 16. Oktober 2008 15:33 Benötigte Zeit: 2:51:02 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 10872 Verzeichnisse wurden überprüft 507805 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 2 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 57 Dateien konnten nicht durchsucht werden 507746 Dateien ohne Befall 8454 Archive wurden durchsucht 61 Warnungen 2 Hinweise |
|
|
||
17.10.2008, 00:15
Ehrenmitglied
Beiträge: 29434 |
#11
ich finde nichts mehr ...es sollte wieder alles i.o. sein
C:\SDFix\backups - löschen C:\Programme\FindyKill - entfernen Wenn es noch Probleme geben sollte..melde dich. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Habe gestern bei einer Googlebildersuch ein eigentlich harmloses Foto in der Windows Bildanzeige geöffnet. Sofort bekam ich eine mittlere Risiko Warnung von Norton. Habe dann auf Instanz immer blockieren gedrückt doch der PC wurde trotzdem merklich langsamer. Als ich später den PC wieder hochgeladen habe startete sofort der Windows Installer. Natürlich aber ich sofort abgebrochen worauf ein neues Fenster kam das sagte das ich Norton zuerst de- und dann wieder reinstallieren sollte (?). Darauf versuchte ich mit Norton eine komplette Systemüberprüfung zu machen, doch blieb nach nur 958 überprüften Dateien stehen. Kein weiterer Progress obwohl ich sie Sysüprüfung danach noch 90 Minuten liefen lies. Habe mir dann die Gratisversion von Antivir runtergeladen und diese dann sofort geupdated. Habe dann mit AntiVir eine komplette Systemprüfung gemacht. (99,8%, 8 Funde, 7 Warnungen, letzter Fund "WORM/Rbot.174080"; Stand 12:14 Uhr). Während der Sysprüfung gab es dauernd "achtung Fund" Fenster, wo mir gesagt wurde das die Datei C:\WINDOWS\Temp\tmpXXX.tmp den Wurm WORM/Rbot.174080 enthält. Nachdem ich solch eine Datei gelöscht hatte wurde in \Temp sofort eine näschte Datei mit ähnlicher Bezeichnung erstellt (löschte ich \Temp\tmp552.tmp kam sofort \Temp\tmp553.tmp z.B). Ich habe nun ca. 50 mal solch eine Datei gelöscht doch bekomme ich immer eine neue "Achtung Fund"-Meldung. Nachdem ich solch eine Datei gelöscht hatte kam auch jedes mal ein Norton Fenster das sagte das ein Virus gefunden und dann entfernt wurde. (Gleiche Dateiname wie bei AntiVir aber Virusname W32.Alcra.F antatt WORM/Rbot.174080).
Nun bin ich kein Computerexperte und weiß auch nicht mehr weiter wie ich WORM/Rbot.174080 entfernen soll. Wäre also sehr nett wenn mir jemand hier mit meinem Problem helfen könnte.
Danke i.V.