Hallo zusammen,
seit ich heute nach dem Hochfahren des Rechners nen "Irgendwas".exe - Speicherzugrifssfehler hatte, und ich daraufhin den Rechner nochmal neu gestartet hatte, kann ich keine Prozesse mehr starten.
Damit meine ich, das der Rechner ganz normal hochfährt und die entsprechenden Prozesse initialisiert.
Jetzt lassen sich aber keine Anwendungen mehr starten. Weder über "draufklicken" noch über den Task-Manager oder cmd-Zeile.
Ich kann also auch kein Antivirus-Programm starten. Ich bekomme komischerweise auch keine Fehlermeldung, es passiert einfach garnichts (Von ner kurzen Rechenzeit mal abgesehen).
Jetzt hab ich im Taskmanager den Prozess kbdgon32.exe gefunden, der mir gänzlich fremd ist. Auch im Internet find ich nichts über den Prozess...bevor ich aber versuche, Ihn zu löschen, will ich hier nochmal nachfragen, obs vielleicht nicht doch an was anderem liegt...oder ob jemand was mit dem Prozess anfangen kann?
Ich hab hier WinXP Home SP1 laufen.
Falls noch andere Infos benötigt werden, einfach kurz Bescheid geben..
Vielen dank schonmal für die Hilfe
Grüße vom schwäbischen Meer,
Robbi
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
dsdmsinv.exe+setv1258.dll (W32/PPdoor.M-bdr)
24 Beiträge • Seite 1 von 2 • 1, 2
von MyEternity am 07.05.2005, 15:35
Hallo nochmal,
es schien sich wohl nur um n temporäres Problem zu handeln...
jedenfalls läuft mein System im Moment stabil...
Allerdings wäre ich trotzdem dankbar, falls mir jemand was zu bereits angesprochenem Prozess kbdgon32 sagen könnte.
Danke und beste Grüße
Robbi
es schien sich wohl nur um n temporäres Problem zu handeln...
jedenfalls läuft mein System im Moment stabil...
Allerdings wäre ich trotzdem dankbar, falls mir jemand was zu bereits angesprochenem Prozess kbdgon32 sagen könnte.
Danke und beste Grüße
Robbi
- MyEternity
- Beiträge: 36
- Registriert: 05.11.2004, 17:27
von riedldehaehn am 07.05.2005, 15:47
beende ihn doch einfach mal und schau dann ob die Programme laufen(bei den programmstarts: kriegst du nur keine "optische Bestätigung,sprich öffnet sich das programm nur nicht oder startet auch im taskmanager nichts?)
- riedldehaehn
- Beiträge: 1398
- Registriert: 02.03.2005, 18:17
von MyEternity am 07.05.2005, 18:59
Hi,
danke für deine Nachricht.
Wie schon gesagt, das Problem tritt nicht mehr auf, um aber auf deine Frage zu antworten: Es ließen sich einfach keine Prozesse mehr erzeugen, ich hab also beispielsweise auch nichts im Taskmanager stehen gehabt... komische Sache...
Ich versuch gerade den Prozess kbdgon32 zu beenden bzw. die Anwendung zu löschen, da sie jetzt schon diverse Male versucht hat, ne Verbindung zum Internet zu erstellen...
Danke auf jeden Fall!
grüße
Robbi
danke für deine Nachricht.
Wie schon gesagt, das Problem tritt nicht mehr auf, um aber auf deine Frage zu antworten: Es ließen sich einfach keine Prozesse mehr erzeugen, ich hab also beispielsweise auch nichts im Taskmanager stehen gehabt... komische Sache...
Ich versuch gerade den Prozess kbdgon32 zu beenden bzw. die Anwendung zu löschen, da sie jetzt schon diverse Male versucht hat, ne Verbindung zum Internet zu erstellen...
Danke auf jeden Fall!
grüße
Robbi
- MyEternity
- Beiträge: 36
- Registriert: 05.11.2004, 17:27
von Nikita am 09.05.2005, 00:55
MyEternity
das ist ein Wurm /oder Backdoor:
HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
das ist ein Wurm /oder Backdoor:
HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von MyEternity am 10.05.2005, 19:54
Hallo Nikita,
so wies aussieht liegst Du völlig richtig, mein Problem besteht weiterhin...
bei 8 von 10 Windows-Starts bin ich völlig machtlos, ne Anwendung zu starten...ich hoffe das log-File hilft Dir und damit mir weiter...
Die automatische log-File Auswertung hat mir diesmal nicht sehr viel geholfen, leider, allerdings muss ich sagen das es ansonsten ne echt super Sache ist!
DEr Prozess, der mir gerade Ärger macht heißt dsdmsinv.exe, die Namen der Prozesse werden zufällig generiert, nehm ich an, denn jedesmal wenn ich mein HijackThis starten kann, lass ich die entsprechende File beim nächsten Boot löschen, allerdings wartet dann halt der nächste Prozess mit anderem Namen...
Hier also die LogFile:
Logfile of HijackThis v1.99.1
Scan saved at 19:50:31, on 10.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Personal Security Service\Common\FSM32.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\Personal Security Service\Common\FSMA32.EXE
C:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\Personal Security Service\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Personal Security Service\backweb\2581593\Program\fspex.exe
C:\Programme\Personal Security Service\Common\FCH32.EXE
C:\Programme\Personal Security Service\Common\FAMEH32.EXE
C:\Programme\Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\Personal Security Service\FSGUI\fsguiexe.exe
C:\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office10\OSA.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 2617054076
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: T-TeleSec Personal Security Service (BackWeb Client - 2581593) - Unknown owner - C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Personal Security Service\Common\FSMA32.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/Studium/5.Semester/Studienarbeit/xampp-win32-1.4.9/xampp/mysql/bin/mysqld-nt.exe
Danke schonmal für deine Hilfe! Du (Ihr alle) mach(s)t das hier erste Sahne!
beste Grüße
Robbi
so wies aussieht liegst Du völlig richtig, mein Problem besteht weiterhin...
bei 8 von 10 Windows-Starts bin ich völlig machtlos, ne Anwendung zu starten...ich hoffe das log-File hilft Dir und damit mir weiter...
Die automatische log-File Auswertung hat mir diesmal nicht sehr viel geholfen, leider, allerdings muss ich sagen das es ansonsten ne echt super Sache ist!
DEr Prozess, der mir gerade Ärger macht heißt dsdmsinv.exe, die Namen der Prozesse werden zufällig generiert, nehm ich an, denn jedesmal wenn ich mein HijackThis starten kann, lass ich die entsprechende File beim nächsten Boot löschen, allerdings wartet dann halt der nächste Prozess mit anderem Namen...
Hier also die LogFile:
Logfile of HijackThis v1.99.1
Scan saved at 19:50:31, on 10.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Personal Security Service\Common\FSM32.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\Personal Security Service\Common\FSMA32.EXE
C:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\Personal Security Service\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Personal Security Service\backweb\2581593\Program\fspex.exe
C:\Programme\Personal Security Service\Common\FCH32.EXE
C:\Programme\Personal Security Service\Common\FAMEH32.EXE
C:\Programme\Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\Personal Security Service\FSGUI\fsguiexe.exe
C:\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office10\OSA.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 2617054076
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: T-TeleSec Personal Security Service (BackWeb Client - 2581593) - Unknown owner - C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Personal Security Service\Common\FSMA32.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/Studium/5.Semester/Studienarbeit/xampp-win32-1.4.9/xampp/mysql/bin/mysqld-nt.exe
Danke schonmal für deine Hilfe! Du (Ihr alle) mach(s)t das hier erste Sahne!
beste Grüße
Robbi
- MyEternity
- Beiträge: 36
- Registriert: 05.11.2004, 17:27
von Nikita am 11.05.2005, 01:46
Hallo@MyEternity
Weiterhin keine WindowsUpdates...nun ja
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
Weiterhin keine WindowsUpdates...nun ja
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von MyEternity am 11.05.2005, 17:22
Hoi Nikita,
Windows Update -> Fehlernummer: 0x80070424
keine Hilfe in Knowledge Base gefunden ^^"
Abgesicherter Modus lief bei meinem Rechner noch nie ...ich bekomm nur nen schwarzen Bildschirm mit nem Cursor oben links, der aber auf keine mir bekannte Art der Eingabe reagiert...
[Habe mehrere Möglichkeiten den abgesicherten Modus zu starten, allerdings führt jede Option zu eben erläutertem Ergebnis, bin da schon immer ratlos...]
Hier trotzdem mal die Logfile, und danke schonmal im Vorraus!
C:\AntiVir\rkfiles
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\atl71.pdb: dwProvSpec2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\mfc71.pdb: dwProvSpec2
C:\WINDOWS\system32\MFC71d.pdb: dwProvSpec2
C:\WINDOWS\system32\mfc71u.pdb: dwProvSpec2
C:\WINDOWS\system32\mfc71ud.pdb: dwProvSpec2
C:\WINDOWS\system32\atl71.pdb: dwProvSpec2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\mfc71.pdb: dwProvSpec2
C:\WINDOWS\system32\MFC71d.pdb: dwProvSpec2
C:\WINDOWS\system32\mfc71u.pdb: dwProvSpec2
C:\WINDOWS\system32\mfc71ud.pdb: dwProvSpec2
Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye
beste Grüße vom See
Robbi
Windows Update -> Fehlernummer: 0x80070424
keine Hilfe in Knowledge Base gefunden ^^"
Abgesicherter Modus lief bei meinem Rechner noch nie ...ich bekomm nur nen schwarzen Bildschirm mit nem Cursor oben links, der aber auf keine mir bekannte Art der Eingabe reagiert...
[Habe mehrere Möglichkeiten den abgesicherten Modus zu starten, allerdings führt jede Option zu eben erläutertem Ergebnis, bin da schon immer ratlos...]
Hier trotzdem mal die Logfile, und danke schonmal im Vorraus!
C:\AntiVir\rkfiles
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\atl71.pdb: dwProvSpec2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\mfc71.pdb: dwProvSpec2
C:\WINDOWS\system32\MFC71d.pdb: dwProvSpec2
C:\WINDOWS\system32\mfc71u.pdb: dwProvSpec2
C:\WINDOWS\system32\mfc71ud.pdb: dwProvSpec2
C:\WINDOWS\system32\atl71.pdb: dwProvSpec2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\mfc71.pdb: dwProvSpec2
C:\WINDOWS\system32\MFC71d.pdb: dwProvSpec2
C:\WINDOWS\system32\mfc71u.pdb: dwProvSpec2
C:\WINDOWS\system32\mfc71ud.pdb: dwProvSpec2
Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye
beste Grüße vom See
Robbi
- MyEternity
- Beiträge: 36
- Registriert: 05.11.2004, 17:27
von Nikita am 11.05.2005, 18:29
Hallo@MyEternity
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
suche den Dienst: Automatische Windowsupdates und stelle ihn auf "Automatisch"
silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
Dann mache die Updates und scanne mit Panda:
•Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
suche den Dienst: Automatische Windowsupdates und stelle ihn auf "Automatisch"
silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
Dann mache die Updates und scanne mit Panda:
•Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von MyEternity am 11.05.2005, 18:56
Hoi Nikita,
Auch auf die Gefahr hin, das Du mich für völlig unfähig hältst, aber ich habe keinen Dienst "Automatische Updates" oder ähnliches gefunden...
Hier noch das Output File:
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "atiptaxx.exe" [file not found]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"F-Secure Manager" = ""C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Access Protocol" = "C:\WINDOWS\System32\dsdmsinv.exe" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Office10\msohev.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{71163615-BCE8-4973-9867-D3AF7ECC3D52}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nzlanman.dll" [file not found]
"{6CADE55B-8DB9-49E3-9D55-23CBE3535833}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\lncdll.dll" [file not found]
"{9ED64956-929B-41CF-9201-AE3E1C60FAB0}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\kRpm0e71eh.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\VIRTUE~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"Protocol Meeting" = "{D0F1EB5B-344B-4940-BF50-7CD6798D2E73}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\setv1258.dll" [null data]
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\CAPCOM~1.SCR" (Capcom Europe.scr) ["MacSourcery"]
Enabled Wallpaper and Active Desktop:
-------------------------------------
Active Desktop is disabled.
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Robert Walter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Startup items in "Robert Walter" & "All Users" startup folders:
---------------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Office10\OSA.EXE -b -l" [MS]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ 4.1"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQ\ICQLite\ICQLite.exe" ["ICQ Ltd."]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"]
F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]
fsbwsys, fsbwsys, ""C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe"" ["F-Secure Corp."]
FSMA, FSMA, ""C:\Programme\Personal Security Service\Common\FSMA32.EXE"" ["F-Secure Corporation"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
T-TeleSec Personal Security Service, BackWeb Client - 2581593, "C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------
Soll ich trotzdem schon mit Panda scannen?
Vielen lieben Dank für deine Engelsgedult
Robbi
Auch auf die Gefahr hin, das Du mich für völlig unfähig hältst, aber ich habe keinen Dienst "Automatische Updates" oder ähnliches gefunden...
Hier noch das Output File:
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "atiptaxx.exe" [file not found]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"F-Secure Manager" = ""C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Access Protocol" = "C:\WINDOWS\System32\dsdmsinv.exe" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Office10\msohev.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{71163615-BCE8-4973-9867-D3AF7ECC3D52}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nzlanman.dll" [file not found]
"{6CADE55B-8DB9-49E3-9D55-23CBE3535833}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\lncdll.dll" [file not found]
"{9ED64956-929B-41CF-9201-AE3E1C60FAB0}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\kRpm0e71eh.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\VIRTUE~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"Protocol Meeting" = "{D0F1EB5B-344B-4940-BF50-7CD6798D2E73}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\setv1258.dll" [null data]
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\CAPCOM~1.SCR" (Capcom Europe.scr) ["MacSourcery"]
Enabled Wallpaper and Active Desktop:
-------------------------------------
Active Desktop is disabled.
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Robert Walter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Startup items in "Robert Walter" & "All Users" startup folders:
---------------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Office10\OSA.EXE -b -l" [MS]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ 4.1"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQ\ICQLite\ICQLite.exe" ["ICQ Ltd."]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"]
F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]
fsbwsys, fsbwsys, ""C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe"" ["F-Secure Corp."]
FSMA, FSMA, ""C:\Programme\Personal Security Service\Common\FSMA32.EXE"" ["F-Secure Corporation"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
T-TeleSec Personal Security Service, BackWeb Client - 2581593, "C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------
Soll ich trotzdem schon mit Panda scannen?
Vielen lieben Dank für deine Engelsgedult
Robbi
- MyEternity
- Beiträge: 36
- Registriert: 05.11.2004, 17:27
von MyEternity am 11.05.2005, 19:10
Hier hab ich mal meine Dienste aufgelistet, für den Fall das ich den Wald vor lauter Bäumen nicht seh:
Ablagemappe
Anmeldedienst
Anwendungsverwaltung
Arbeitsstationsdienst
ASP.NET State Service
Ati HotKey Poller
ATI Smart
COM+-Ereignissystem
COM+-Systemanwendung
Computerbrowser
Designs
DHCP-Client
Distributed Transaction Coordinator
DNS-Client
Druckwarteschlange
Eingabegerätezugang
Ereignisprotokoll
Fehlerberichterstattungsdienst
FileZilla Server FTP server
fsbwsys
F-Secure Anti-Virus Firewall Daemon
F-Secure Gatekeeper Handler Starter
FSMA
Gatewaydienst auf Anwendungsebene
Geschützter Speicher
Hilfe und Support
IMAPI-CD-Brenn-COM-Dienste
Indexdienst
Intelligenter Hintergrundübertragungsdienst
IPSEC-Dienste
Kompatibilität für schnelle Benutzerumschaltung
Konfigurationsfreie drahtlose Verbindung
Kryptografiedienste
Leistungsdatenprotokolle und Warnungen
Machine Debug Manager
Macromedia Licensing Service
MS Software Shadow Copy Provider
MySql
Nachrichtendienst
NetMeeting-Remotedesktop-Freigabe
Netzwerk-DDE-Dienst
Netzwerk-DDE-Serverdienst
Netzwerkverbindungen
NLA (Network Location Awareness)
NT-LM-Sicherheitsdienst
Plug & Play
Portable Media Serial Number Service
QoS-RSVP
RAS-Verbindungsverwaltung
Remoteprozeduraufruf (RPC)
Routing und RAS
RPC-Locator
Sekundäre Anmeldung
Server
Shellhardwareerkennung
Sicherheitskontenverwaltung
Sitzungs-Manager für Remotedesktophilfe
Smartcard
Smartcard-Hilfsprogramm
SSDP-Suchdienst
Systemereignisbenachrichtigung
Systemwiederherstellungsdienst
Taskplaner
TCP/IP-NetBIOS-Hilfsprogramm
Telefonie
Terminaldienste
T-TeleSec Personal Security Service
Überwachung verteilter Verknüpfungen (Client)
Universeller Plug & Play-Gerätehost
Unterbrechungsfreie Stromversorgung
Upload-Manager
Verwaltung für automatische RAS-Verbindung
Verwaltung logischer Datenträger
Verwaltungsdienst für die Verwaltung logischer Datenträger
Volumeschattenkopie
Warndienst
WebClient
Wechselmedien
Windows Audio
Windows Installer
Windows User Mode Driver Framework
Windows-Bilderfassung (WIA)
Windows-Verwaltungsinstrumentation
Windows-Zeitgeber
WMI-Leistungsadapter
Ablagemappe
Anmeldedienst
Anwendungsverwaltung
Arbeitsstationsdienst
ASP.NET State Service
Ati HotKey Poller
ATI Smart
COM+-Ereignissystem
COM+-Systemanwendung
Computerbrowser
Designs
DHCP-Client
Distributed Transaction Coordinator
DNS-Client
Druckwarteschlange
Eingabegerätezugang
Ereignisprotokoll
Fehlerberichterstattungsdienst
FileZilla Server FTP server
fsbwsys
F-Secure Anti-Virus Firewall Daemon
F-Secure Gatekeeper Handler Starter
FSMA
Gatewaydienst auf Anwendungsebene
Geschützter Speicher
Hilfe und Support
IMAPI-CD-Brenn-COM-Dienste
Indexdienst
Intelligenter Hintergrundübertragungsdienst
IPSEC-Dienste
Kompatibilität für schnelle Benutzerumschaltung
Konfigurationsfreie drahtlose Verbindung
Kryptografiedienste
Leistungsdatenprotokolle und Warnungen
Machine Debug Manager
Macromedia Licensing Service
MS Software Shadow Copy Provider
MySql
Nachrichtendienst
NetMeeting-Remotedesktop-Freigabe
Netzwerk-DDE-Dienst
Netzwerk-DDE-Serverdienst
Netzwerkverbindungen
NLA (Network Location Awareness)
NT-LM-Sicherheitsdienst
Plug & Play
Portable Media Serial Number Service
QoS-RSVP
RAS-Verbindungsverwaltung
Remoteprozeduraufruf (RPC)
Routing und RAS
RPC-Locator
Sekundäre Anmeldung
Server
Shellhardwareerkennung
Sicherheitskontenverwaltung
Sitzungs-Manager für Remotedesktophilfe
Smartcard
Smartcard-Hilfsprogramm
SSDP-Suchdienst
Systemereignisbenachrichtigung
Systemwiederherstellungsdienst
Taskplaner
TCP/IP-NetBIOS-Hilfsprogramm
Telefonie
Terminaldienste
T-TeleSec Personal Security Service
Überwachung verteilter Verknüpfungen (Client)
Universeller Plug & Play-Gerätehost
Unterbrechungsfreie Stromversorgung
Upload-Manager
Verwaltung für automatische RAS-Verbindung
Verwaltung logischer Datenträger
Verwaltungsdienst für die Verwaltung logischer Datenträger
Volumeschattenkopie
Warndienst
WebClient
Wechselmedien
Windows Audio
Windows Installer
Windows User Mode Driver Framework
Windows-Bilderfassung (WIA)
Windows-Verwaltungsinstrumentation
Windows-Zeitgeber
WMI-Leistungsadapter
- MyEternity
- Beiträge: 36
- Registriert: 05.11.2004, 17:27
von Nikita am 12.05.2005, 01:56
das ist ja wirklich komisch.....mit den WindowsUpdates....Hast du Windows XP ?????
Start-->alle Programme-->Zubehoer-->Editor und kopiere folgenden Text rein:
dir
C:\WINDOWS\System32\dsdmsinv.ex /a h > files.txt
notepad files.txt
<Speichern als: Findfile.bat
<abspeichern unter : Dateityp: alle Dateien
<speichere auf dem Desktop
Locate FindFile.bat--> doopelklick auf die bat-Datei , der Editor oeffnet sich-->poste den Text
Start-->alle Programme-->Zubehoer-->Editor und kopiere folgenden Text rein:
dir
C:\WINDOWS\System32\dsdmsinv.ex /a h > files.txt
notepad files.txt
<Speichern als: Findfile.bat
<abspeichern unter : Dateityp: alle Dateien
<speichere auf dem Desktop
Locate FindFile.bat--> doopelklick auf die bat-Datei , der Editor oeffnet sich-->poste den Text
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von MyEternity am 12.05.2005, 12:10
Salli Nikita,
hab jetzt die Windowsupdates auf automatisch gestellt (Eigenschaften unter Arbeitsplatz bietet diese Funktion ... ^^")
Die FindFile.bat hat leider keine Ausgabe in die files.txt umgeleitet.
Habs sowohl mit
dir
C:\WINDOWS\System32\dsdmsinv.ex /a h > files.txt
notepad files.txt
als auch mit
dir
C:\WINDOWS\System32\dsdmsinv.exe /a h > files.txt
notepad files.txt
versucht. (da er beim ersten die Datei nicht gefunden hat)
Der PRozess dsdmsinv.exe wird auf jeden Fall noch ausgeführt (laut Task Manager). Aber wie schon erwähnt, wenn ich den vom HijackThis bei nem Neustart Löschen lasse (samt dsdmsinv.oxc) würde danach ein anderer Prozess gestartet werden, der dann ebenfalls nen zufällig klingenden Namen hat...
Ich hoffe Du hast noch was in der Hinterhand, wie wir diesem Wurm oder was immer es ist auf die Pelle rücken können.
Auf jeden Fall führten beide Versuche zu ner leeren txt-Datei...
Naja, auf jedenfall werd ich versuchen mich jetzt mal um die Updates zu kümmern und danach mal mit Panda scannen.
sonnige Grüße
Robbi
hab jetzt die Windowsupdates auf automatisch gestellt (Eigenschaften unter Arbeitsplatz bietet diese Funktion ... ^^")
Die FindFile.bat hat leider keine Ausgabe in die files.txt umgeleitet.
Habs sowohl mit
dir
C:\WINDOWS\System32\dsdmsinv.ex /a h > files.txt
notepad files.txt
als auch mit
dir
C:\WINDOWS\System32\dsdmsinv.exe /a h > files.txt
notepad files.txt
versucht. (da er beim ersten die Datei nicht gefunden hat)
Der PRozess dsdmsinv.exe wird auf jeden Fall noch ausgeführt (laut Task Manager). Aber wie schon erwähnt, wenn ich den vom HijackThis bei nem Neustart Löschen lasse (samt dsdmsinv.oxc) würde danach ein anderer Prozess gestartet werden, der dann ebenfalls nen zufällig klingenden Namen hat...
Ich hoffe Du hast noch was in der Hinterhand, wie wir diesem Wurm oder was immer es ist auf die Pelle rücken können.
Auf jeden Fall führten beide Versuche zu ner leeren txt-Datei...
Naja, auf jedenfall werd ich versuchen mich jetzt mal um die Updates zu kümmern und danach mal mit Panda scannen.
sonnige Grüße
Robbi
- MyEternity
- Beiträge: 36
- Registriert: 05.11.2004, 17:27
von Nikita am 12.05.2005, 13:26
Submit virus sample
http://www.norman.com/Virus/Submit_virus_sample/en
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
•
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
C:\WINDOWS\System32\dsdmsinv.exe
----------------
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\System32\dsdmsinv.exe
C:\WINDOWS\system32\nzlanman.dll
C:\WINDOWS\system32\lncdll.dll
C:\WINDOWS\System32\setv1258.dll
PC neustarten
Start-->Ausfuehren--> regedit
loesche mit rechtsklick:
> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nzlanman.dll
"{6CADE55B-8DB9-49E3-9D55-23CBE3535833}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\lncdll.dll
"{9ED64956-929B-41CF-9201-AE3E1C60FAB0}"
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"Protocol Meeting" = "{D0F1EB5B-344B-4940-BF50-7CD6798D2E73}
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\setv1258.dll
1. Laden Sie L2mfix von hier :
2.
http://bilder.informationsarchiv.net/Ni ... l2mfix.exe
3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.
WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!
8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.
WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!
12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
13. Dies stellt die Winlogon Standardeinstellungen wieder her.
14. Posten Sie einen aktuellen HijackThis Log
http://www.norman.com/Virus/Submit_virus_sample/en
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
•
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
C:\WINDOWS\System32\dsdmsinv.exe
----------------
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\System32\dsdmsinv.exe
C:\WINDOWS\system32\nzlanman.dll
C:\WINDOWS\system32\lncdll.dll
C:\WINDOWS\System32\setv1258.dll
PC neustarten
Start-->Ausfuehren--> regedit
loesche mit rechtsklick:
> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nzlanman.dll
"{6CADE55B-8DB9-49E3-9D55-23CBE3535833}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\lncdll.dll
"{9ED64956-929B-41CF-9201-AE3E1C60FAB0}"
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"Protocol Meeting" = "{D0F1EB5B-344B-4940-BF50-7CD6798D2E73}
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\setv1258.dll
1. Laden Sie L2mfix von hier :
2.
http://bilder.informationsarchiv.net/Ni ... l2mfix.exe
3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.
WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!
8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.
WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!
12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
13. Dies stellt die Winlogon Standardeinstellungen wieder her.
14. Posten Sie einen aktuellen HijackThis Log
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von MyEternity am 13.05.2005, 14:00
Hi Nikita,
hier mal die Ergebnisse von Jotti`s Malware-Scan:
AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/PPdoor.M-bdr gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Sandbox: W32/Malware; [ General information ]
* Anti debug/emulation code present.
* File length: 79360 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\vnetbsh.dll.
* Creates file C:\WINDOWS\SYSTEM\tvzwikia.dll.
[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad".
* Creates key "HKCR\CLSID\".
* Sets value "default"="C:\WINDOWS\SYSTEM\setv1258.dll" in key "HKCR\CLSID\".
* Sets value "NULL Address"="" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad".
* Creates value "Terminal Address"="C:\WINDOWS\SYSTEM\dsdmsinv.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
[ Network services ]
* Connects to "ftp.freebsd.org" on port 21 (IP).
* Connects to "68.58.56.230" on port 2910 (TCP).
* Sends data stream (28 bytes) to remote address "68.58.56.230", port 2910.
[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 3362.
[ Process/window information ]
* Creates a mutex ebncrzsa.
* Will automatically restart after boot (I'll be back...). gefunden
VBA32 Keine Viren gefunden
Der Rest folgt gleich...
da ich aber gerade bis auf meinen IExplorer keine andere Anwendung starten kann, muss ichs erst mit nem Neustart probieren...
hier mal die Ergebnisse von Jotti`s Malware-Scan:
AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/PPdoor.M-bdr gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Sandbox: W32/Malware; [ General information ]
* Anti debug/emulation code present.
* File length: 79360 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\vnetbsh.dll.
* Creates file C:\WINDOWS\SYSTEM\tvzwikia.dll.
[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad".
* Creates key "HKCR\CLSID\".
* Sets value "default"="C:\WINDOWS\SYSTEM\setv1258.dll" in key "HKCR\CLSID\".
* Sets value "NULL Address"="" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad".
* Creates value "Terminal Address"="C:\WINDOWS\SYSTEM\dsdmsinv.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
[ Network services ]
* Connects to "ftp.freebsd.org" on port 21 (IP).
* Connects to "68.58.56.230" on port 2910 (TCP).
* Sends data stream (28 bytes) to remote address "68.58.56.230", port 2910.
[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 3362.
[ Process/window information ]
* Creates a mutex ebncrzsa.
* Will automatically restart after boot (I'll be back...). gefunden
VBA32 Keine Viren gefunden
Der Rest folgt gleich...
da ich aber gerade bis auf meinen IExplorer keine andere Anwendung starten kann, muss ichs erst mit nem Neustart probieren...
- MyEternity
- Beiträge: 36
- Registriert: 05.11.2004, 17:27
24 Beiträge • Seite 1 von 2 • 1, 2
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste