Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


AntiVir prog. etc. startet nicht mehr ?

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Antwort erstellen

AntiVir prog. etc. startet nicht mehr ?

Beitragvon Braunbar am 29.05.2006, 18:39

Hallo

Ich hab folgendes prob: Wenn ich TaskManager starten will kommt immer Task.... konnte nicht gestartet werden das auch bei den Virenscanner (KasperSky)

Wieso ??
Braunbar
 
Beiträge: 251
Registriert: 29.01.2006, 17:59
Wohnort: Salzgitter
Nach oben

Beitragvon gipsy111 am 29.05.2006, 19:10

Hi,

sind eigentlich erste Anzeichen für Viren etc.

Arbeite dies ab!!

Download Hijackthis

http://www.merijn.org/files/hijackthis.zip

Entpacke in einen eigenen Ordner --> Doppelklick auf: "Hijackthis.exe" --> Haken setzen --> [Noone of the above Just start the Programm] --> Button [Scan] --> Nach dem Scan [Save Logfile] Speichere es --> Ein Editor öffnet sich: kopiere den Inhalt hierher ins Forum.

Kurzanleitung

http://virus-protect.org/hjtkurz.html

Cleanup

Nutze Cleanup wie beschrieben Hake auf jeden Fall an: Prefetch Ordner leeren:
http://virus-protect.org/cleanup.html

Arbeite das hier ab ==> Poste alle 4 Logs der letzten 3 Monate
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
gipsy111
Moderator
 
Beiträge: 1616
Registriert: 26.12.2005, 18:02
Wohnort: Baden - Württemberg
Nach oben

Beitragvon Braunbar am 29.05.2006, 19:29

Hier die logs:

HIjackthis:
Logfile of HijackThis v1.99.1
Scan saved at 19:23:15, on 29.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Jan\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wealthwars.com/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.213.40.134:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [example.exe] C:\WINDOWS\system32\example.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [VoipStunt] "C:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com/pa ... eview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3125163483
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECE9F97C-2600-44F8-A5CC-A18AF04CDD4A}: NameServer = 213.211.192.34,194.45.154.35
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe

Bei Datfind hab ich nur 3 Logs
Datfind:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\DOKUME~1\Jan\LOKALE~1\Temp

29.05.2006 19:13 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}10205.html
29.05.2006 19:05 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}12910.html
29.05.2006 18:19 16.384 ~DFA4FB.tmp
29.05.2006 18:18 512 ~DF6C85.tmp
29.05.2006 18:18 16.384 ~DF6C68.tmp
29.05.2006 18:13 512 ~DFD719.tmp
29.05.2006 18:13 16.384 ~DFD70B.tmp
29.05.2006 18:13 16.384 ~DFD6D3.tmp
29.05.2006 18:13 512 ~DFD6C5.tmp
29.05.2006 18:13 16.384 ~DFD6B7.tmp
29.05.2006 18:13 512 ~DFD6E1.tmp
29.05.2006 18:13 512 ~DFD6FD.tmp
29.05.2006 18:13 16.384 ~DFD6EF.tmp
29.05.2006 18:10 16.384 ~DF6BC0.tmp
29.05.2006 18:10 512 ~DF6C3B.tmp
29.05.2006 18:10 512 ~DF6BB1.tmp
29.05.2006 18:10 16.384 ~DF6BA2.tmp
29.05.2006 18:10 16.384 ~DF6AC7.tmp
29.05.2006 18:10 512 ~DF6B93.tmp
29.05.2006 18:10 512 ~DF6AA9.tmp
29.05.2006 18:10 16.384 ~DF6A7B.tmp
29.05.2006 15:54 777 psftpfreedirlist.txt
29.05.2006 15:29 0 q3e25C.tmp
29.05.2006 15:05 0 v56232.tmp
29.05.2006 12:15 0 byf1A1.tmp
29.05.2006 08:24 91.480 java_install_reg.log
29.05.2006 07:41 16.384 ~DFA0A6.tmp
29.05.2006 07:41 512 ~DF2E8C.tmp
29.05.2006 07:41 16.384 ~DF2DF1.tmp
28.05.2006 22:09 832 laenderupdate.int.php
28.05.2006 21:57 18.876 ip-to-country.csv
28.05.2006 21:35 4.511 menue_links.php
28.05.2006 20:16 65.536 adb24C.tmp
28.05.2006 20:13 65.536 adb247.tmp
28.05.2006 20:10 65.536 adb246.tmp
28.05.2006 14:44 0 kv5160.tmp
28.05.2006 14:24 65.536 adb126.tmp
28.05.2006 14:16 65.536 adb115.tmp
28.05.2006 13:54 0 am0E5.tmp
28.05.2006 13:37 0 lnmCF.tmp
28.05.2006 12:56 0 j1yB1.tmp
28.05.2006 11:53 0 1xx5D.tmp
28.05.2006 11:52 0 67756.tmp
28.05.2006 11:49 0 3nr4F.tmp
28.05.2006 10:52 16.384 ~DF6216.tmp
28.05.2006 10:52 16.384 ~DF2724.tmp
27.05.2006 22:37 0 khbD8.tmp
27.05.2006 20:51 1.605 premium.php
27.05.2006 20:34 65.536 adbA3.tmp
27.05.2006 20:13 65.536 adb9D.tmp
27.05.2006 20:05 65.536 adb8B.tmp
27.05.2006 19:54 17.533 buchen.php
27.05.2006 19:36 0 nt247.tmp
27.05.2006 18:47 65.536 adb1F.tmp
27.05.2006 18:43 65.536 adb16.tmp
27.05.2006 18:37 65.536 adbF.tmp
27.05.2006 18:34 65.536 adb7.tmp
27.05.2006 18:33 16.384 ~DFB259.tmp
27.05.2006 18:33 16.384 ~DF22B4.tmp
27.05.2006 18:25 65.536 adb2AC.tmp
27.05.2006 10:51 16.384 ~DF2CAB.tmp
27.05.2006 10:51 512 ~DF2F66.tmp
27.05.2006 10:51 16.384 ~DF2F58.tmp
26.05.2006 23:00 0 97q455.tmp
26.05.2006 22:04 67.560 TFR3E6.tmp
26.05.2006 22:04 21.122 TFR3DF.tmp
26.05.2006 22:04 23.427 TFR3D8.tmp
26.05.2006 22:04 71.682 TFR3D5.tmp
26.05.2006 22:04 10.225 TFR3D4.tmp
26.05.2006 22:04 35.574 TFR3D2.tmp
26.05.2006 22:04 32.204 TFR3D1.tmp
26.05.2006 22:04 27.777 TFR3D0.tmp
26.05.2006 20:21 3.284 topframe_text.php
26.05.2006 20:20 7.628 functions.lib.php
26.05.2006 18:59 307 ISPackFiles.ini
26.05.2006 16:26 0 hpk2C0.tmp
26.05.2006 15:55 317 Install-log.txt
26.05.2006 15:26 18.504.704 1680c6c.msp
26.05.2006 15:03 153 events.log
26.05.2006 15:03 153 prof.log
26.05.2006 14:40 59.964 AdskCleanup.0001
26.05.2006 12:16 255 smiley1.gif
26.05.2006 11:43 1.557 betau.php
26.05.2006 11:39 4.724 topframe_betau.php
26.05.2006 11:03 17.673.744 ux551uy9.rar
26.05.2006 09:59 5.735 menue_rechts.php
26.05.2006 09:20 16.384 ~DFED00.tmp
26.05.2006 09:20 16.384 ~DFD465.tmp
25.05.2006 22:56 0 vqy282.tmp
25.05.2006 21:40 0 kaf214.tmp
25.05.2006 19:53 0 g1j10A.tmp
25.05.2006 18:53 0 nru73.tmp
25.05.2006 17:17 16.384 ~DF2EC5.tmp
25.05.2006 17:17 16.384 ~DF257A.tmp
25.05.2006 17:13 16.384 ~DF342B.tmp
25.05.2006 17:13 16.384 ~DF32D3.tmp
25.05.2006 17:13 512 ~DF32E1.tmp
25.05.2006 16:41 65.536 adbDD.tmp
25.05.2006 16:35 65.536 adbD8.tmp
25.05.2006 16:23 65.536 adbCB.tmp
25.05.2006 16:16 65.536 adbC9.tmp
25.05.2006 16:02 65.536 adbBC.tmp
25.05.2006 15:00 65.536 adb4F.tmp
25.05.2006 14:26 0 y9x24.tmp
25.05.2006 14:00 16.384 ~DF5BD8.tmp
25.05.2006 14:00 512 ~DF333D.tmp
25.05.2006 14:00 16.384 ~DF332F.tmp
25.05.2006 13:57 16.384 ~DFE0E9.tmp
25.05.2006 13:57 512 ~DF2606.tmp
25.05.2006 13:57 16.384 ~DF2327.tmp
25.05.2006 13:57 98.304 ~DF1BB4.tmp
25.05.2006 13:24 0 zoz1E4.tmp
25.05.2006 12:42 0 ckv18F.tmp
25.05.2006 12:29 0 edn174.tmp
25.05.2006 12:25 0 l25168.tmp
25.05.2006 12:02 0 x7511B.tmp
25.05.2006 11:58 0 ch0105.tmp
25.05.2006 11:55 0 ryb100.tmp
25.05.2006 11:43 1.567 QTInstallCode.log
25.05.2006 11:43 3.824 qtplugin.log
25.05.2006 11:42 450.048 2bf963.mst
25.05.2006 11:42 450.048 cd42.mst
25.05.2006 11:38 426.496 2986ae.mst
25.05.2006 11:17 0 zxw21.tmp
25.05.2006 10:52 16.384 ~DF3EE6.tmp
25.05.2006 10:52 512 ~DF1CA4.tmp
25.05.2006 10:52 16.384 ~DF1C78.tmp
25.05.2006 10:51 98.304 ~DF626D.tmp
24.05.2006 22:38 16.384 ~DFA19A.tmp
24.05.2006 22:38 16.384 ~DFA16D.tmp
24.05.2006 22:38 16.384 ~DFA14F.tmp
24.05.2006 22:38 16.384 ~DFA131.tmp
24.05.2006 22:36 0 3su15F.tmp
24.05.2006 22:29 0 4sy14B.tmp
24.05.2006 21:18 65.536 adbF3.tmp
24.05.2006 21:00 214.456 protokoll.pdf
24.05.2006 20:14 28 listen-1.m3u
24.05.2006 19:29 2.237.122 DP_Leseprobe_1.pdf
24.05.2006 18:47 0 1ze97.tmp
24.05.2006 18:32 0 i8585.tmp
24.05.2006 17:46 0 5fy47.tmp
24.05.2006 17:45 0 cbg41.tmp
24.05.2006 17:43 65.536 adb40.tmp
24.05.2006 17:43 14.450 a0e_appcompat.txt
24.05.2006 17:26 65.536 adb28.tmp
24.05.2006 17:24 65.536 adb27.tmp
24.05.2006 17:10 16.384 ~DFAABF.tmp
24.05.2006 17:10 16.384 ~DF2F0B.tmp
24.05.2006 07:42 16.384 ~DF4FB8.tmp
24.05.2006 07:42 16.384 ~DF40C2.tmp
22.05.2006 15:37 102 5EB44F69.TMP
02.05.2006 23:04 36.864 CmdLineExt02.dll


Zweite:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\WINDOWS

29.05.2006 18:24 34.289 setupapi.log
29.05.2006 18:18 1.874.524 WindowsUpdate.log
29.05.2006 18:18 0 0.log
29.05.2006 18:18 2.048 bootstat.dat
29.05.2006 17:56 151 PhotoSnapViewer.INI
29.05.2006 17:56 159 wiadebug.log
29.05.2006 17:56 50 wiaservc.log
29.05.2006 14:57 54.156 QTFont.qfn
28.05.2006 23:23 32.536 SchedLgU.Txt
26.05.2006 17:29 229 NeroDigital.ini
26.05.2006 13:03 1.301 win.ini
25.05.2006 17:10 488 Wininit.ini
25.05.2006 14:02 227 system.ini
25.05.2006 11:38 949 GEARInstall.log
23.05.2006 17:35 340 BeatBox.INI
18.05.2006 16:25 3.077 my.ini
13.05.2006 23:03 754 WORDPAD.INI
12.05.2006 19:42 106 GTARumbleSA.ini
12.05.2006 16:26 86 my.ini.old
10.05.2006 07:25 63.601 iis6.log
10.05.2006 07:25 148.659 comsetup.log
10.05.2006 07:25 163.053 tsoc.log
10.05.2006 07:25 89.389 ntdtcsetup.log
10.05.2006 07:25 21.546 ocmsn.log
10.05.2006 07:25 1.374 imsins.log
10.05.2006 07:25 11.747 KB913580.log
10.05.2006 07:25 204.368 ocgen.log
10.05.2006 07:25 21.135 msgsocm.log
10.05.2006 07:25 412.070 FaxSetup.log
10.05.2006 07:25 23.304 updspapi.log
09.05.2006 17:52 1.409 QTFont.for
08.05.2006 21:07 210 Rumble2.ini
08.05.2006 19:46 52 drwatson.log
08.05.2006 09:49 7.161 mozver.dat
07.05.2006 21:00 1.067.066 setupapi.log.0.old
05.05.2006 17:52 527 eReg.dat
01.05.2006 20:43 67.470 wmsetup.log
29.04.2006 13:36 3.255 Ascd_tmp.ini
29.04.2006 10:14 101.936 DirectX.log
26.04.2006 12:04 2.356 ktd32.atm
26.04.2006 10:09 0 [INI]
26.04.2006 09:55 1.374 imsins.BAK
26.04.2006 09:55 11.175 KB900485.log
17.04.2006 00:09 34 cdplayer.ini
13.04.2006 03:56 32.305 spupdsvc.log
13.04.2006 03:02 17.139 KB908531.log
13.04.2006 03:02 16.316 KB911562.log
13.04.2006 03:01 17.737 KB912812.log
13.04.2006 03:01 19.032 KB911565.log
13.04.2006 03:01 10.785 KB911567.log
11.04.2006 02:33 66 StationRipper.INI
11.04.2006 02:30 3.404 messer.ini
05.04.2006 15:57 0 musicmaker.INI
02.04.2006 11:40 23 BlendSettings.ini
30.03.2006 17:56 4.161 ODBCINST.INI
30.03.2006 16:57 316.640 WMSysPr9.prx
25.03.2006 11:02 231 wmsetup10.log
25.03.2006 00:43 22.117 KB904942.log
25.03.2006 00:43 23.813 KB912945.log
25.03.2006 00:40 12.543 KB900930.log
24.03.2006 04:36 29.612 KB899587.log
24.03.2006 04:36 34.221 KB911927.log
24.03.2006 04:36 27.878 KB901017.log
24.03.2006 04:36 28.195 KB899591.log
24.03.2006 04:36 28.204 KB896424.log
24.03.2006 04:36 27.962 KB893756.log
24.03.2006 04:35 30.776 KB896423.log
24.03.2006 04:35 29.369 KB896358.log
24.03.2006 04:35 19.920 KB910437.log
24.03.2006 04:35 16.448 KB911564.log
24.03.2006 04:35 28.073 KB905915.log
24.03.2006 04:34 26.367 KB902400.log
24.03.2006 04:34 24.260 KB905414.log
24.03.2006 04:34 23.840 KB900725.log
24.03.2006 04:33 20.782 KB912919.log
24.03.2006 04:33 19.977 KB904706.log
24.03.2006 04:33 20.589 KB905749.log
24.03.2006 04:33 19.916 KB894391.log
24.03.2006 04:32 17.521 KB908519.log
24.03.2006 04:32 8.271 KB913446.log
24.03.2006 04:29 23.735 KB890859.log
24.03.2006 04:28 20.801 KB901214.log
24.03.2006 04:28 19.780 KB896428.log
24.03.2006 04:28 17.235 KB896422.log
24.03.2006 04:28 15.732 KB890046.log
24.03.2006 04:28 16.236 KB885250.log
24.03.2006 04:28 16.600 KB885835.log
24.03.2006 04:28 15.072 KB887742.log
24.03.2006 04:28 14.723 KB888113.log
24.03.2006 04:28 14.306 KB891781.log
24.03.2006 04:28 14.666 KB887472.log
24.03.2006 04:27 13.993 KB888302.log
24.03.2006 04:27 15.492 KB885836.log
24.03.2006 04:27 9.180 KB886185.log
24.03.2006 04:27 14.890 KB873339.log
24.03.2006 04:22 3.989 WGA.log
24.03.2006 04:01 5.194 KB893803v2.log
24.03.2006 04:00 6.846 KB898461.log
24.03.2006 00:00 360 DtcInstall.log
23.03.2006 23:55 453.805 svcpack.log
23.03.2006 23:41 200 cmsetacl.log
23.03.2006 23:41 1.330 sessmgr.setup.log
23.03.2006 23:29 581 medctroc.Log
23.03.2006 17:34 107.132 UninstallThunderbird.exe
23.03.2006 17:26 0 nsreg.dat
23.03.2006 17:21 107.132 UninstallFirefox.exe
23.03.2006 17:03 28.721 xpsp1hfm.log
23.03.2006 17:03 42.978 KB835732.log
23.03.2006 17:03 33.904 Q810833.log
23.03.2006 17:02 28.708 KB834707-IE6-20040929.115007.log
23.03.2006 17:02 29.231 KB828741.log
23.03.2006 17:02 19.470 Q329834.log
23.03.2006 17:01 22.013 KB823559.log
23.03.2006 17:01 21.590 Q817606.log
23.03.2006 17:00 21.144 Q329441.log
23.03.2006 17:00 16.713 Q810577.log
23.03.2006 16:59 12.150 Q811630.log
23.03.2006 16:59 7.195 Q329170.log
23.03.2006 16:58 2.710 Q329115.log
23.03.2006 16:58 2.348 Q329390.log
23.03.2006 16:58 960 Q323255.log
23.03.2006 16:58 651 Q329048.log
23.03.2006 16:52 6.223 KB842773.log
23.03.2006 16:52 182.160 setupact.log
23.03.2006 16:50 92 CMISETUP.INI
23.03.2006 16:50 26 CMCDPLAY.INI
23.03.2006 16:39 8.192 REGLOCS.OLD
23.03.2006 16:36 0 control.ini
23.03.2006 16:36 299.552 WMSysPrx.prx
23.03.2006 16:35 240 Windows Update.log
23.03.2006 16:35 749 WindowsShell.Manifest
23.03.2006 16:33 37 vbaddin.ini
23.03.2006 16:33 36 vb.ini
23.03.2006 15:42 0 Sti_Trace.log
23.03.2006 15:40 1.348 regopt.log
23.03.2006 15:39 0 setuperr.log

dritte:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\

29.05.2006 19:27 0 sys.txt
29.05.2006 19:27 9.629 system.txt
29.05.2006 19:27 7.878 systemtemp.txt
29.05.2006 19:27 98.470 system32.txt
29.05.2006 18:18 805.306.368 pagefile.sys
25.05.2006 14:02 211 boot.ini
20.05.2006 16:11 4.004 avenger.txt
19.05.2006 23:52 178 Dc4LicenseAI.key
12.05.2006 16:50 8.349 prefetch.txt
12.05.2006 16:49 13.565 Dsystemp.txt
12.05.2006 16:49 97.154 DSYS32.txt
12.05.2006 16:49 6.399 OW.txt
12.05.2006 16:49 9.675 DW.txt
12.05.2006 16:49 4.303 OP.txt
12.05.2006 16:49 114 DP.txt
12.05.2006 16:49 1.145 OC.txt
12.05.2006 16:49 1.205 DC.txt
08.05.2006 20:14 114 mta.ini
02.05.2006 22:17 10 mikznl.oah
02.05.2006 22:14 10 kclcdb.brq
02.05.2006 17:02 1.024 .rnd
25.04.2006 20:23 413 logdll.txt
23.04.2006 10:13 8.995 Dokumente
23.03.2006 23:34 47.564 NTDETECT.COM
23.03.2006 23:34 251.184 ntldr
23.03.2006 17:39 707 goc.log
23.03.2006 16:36 0 CONFIG.SYS
23.03.2006 16:36 0 MSDOS.SYS
23.03.2006 16:36 0 AUTOEXEC.BAT
23.03.2006 16:36 0 IO.SYS

vierte:
Gibts nicht :roll:

echo:
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
05.03.2005 16:59 1.706.800 gdiplus.dll
05.03.2005 16:59 283.296 IDrop.ocx
05.03.2005 16:59 114.848 IDropENU.dll
02.09.2005 10:05 578 kavwebscan.inf
02.04.2006 18:23 682.200 NpFv415.dll
02.12.2005 12:55 5.101 swflash.inf
05.03.2005 16:59 114.688 vizable.ocx
30.06.2003 23:41 1.689 WMV9VCM.inf
26.05.2005 05:19 291 wuweb.inf
11 Datei(en) 3.045.196 Bytes

Anzahl der angezeigten Dateien:
11 Datei(en) 3.045.196 Bytes
0 Verzeichnis(se), 24.547.270.656 Bytes frei
[/quote]
Braunbar
 
Beiträge: 251
Registriert: 29.01.2006, 17:59
Wohnort: Salzgitter
Nach oben

Beitragvon Braunbar am 30.05.2006, 21:24

Kanner mir keiner helfen ?? :cry:
Braunbar
 
Beiträge: 251
Registriert: 29.01.2006, 17:59
Wohnort: Salzgitter
Nach oben

Beitragvon Nikita am 31.05.2006, 01:37

virustotal
Oben auf der Seite --> auf Durchsuchen klicken -->die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\example.exe

poste den bericht

und arbeite das ab:
poste nur 3 Monate von jedem Log:
Lade die datFind.bat. Im Texteditor wird ein Log erscheinen.
http://board.protecus.de/download.php?i ... atFind.bat
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Braunbar am 31.05.2006, 13:15

Hier der Bericht von Virustotal:
AntiVir 6.34.1.34 05.31.2006 TR/MadTol.A
Authentium 4.93.8 05.31.2006 W32/Madtol.A
Avast 4.6.695.0 05.31.2006 Win32:Trojan-gen. {Other}
AVG 386 05.30.2006 Generic.FP
BitDefender 7.2 05.31.2006 Trojan.Delf.M
CAT-QuickHeal 8.00 05.30.2006 Trojan.Madtol.a
ClamAV devel-20060426 05.31.2006 Trojan.W32.Madtol.A.7
DrWeb 4.33 05.31.2006 Trojan.Unremote
eTrust-InoculateIT 23.72.22 05.31.2006 Win32/Afrootix!Trojan
eTrust-Vet 12.6.2235 05.31.2006 Win32/Afrootix
Ewido 3.5 05.31.2006 Trojan.Madtol.a
Fortinet 2.77.0.0 05.31.2006 W32/Madtol.A!tr
F-Prot 3.16f 05.31.2006 security risk named W32/Madtol.A
Ikarus 0.2.65.0 05.30.2006 Trojan.Win32.Madtol.A
Kaspersky 4.0.2.24 05.31.2006 Trojan.Win32.Madtol.a
McAfee 4773 05.30.2006 AFXrootkit.gen
Microsoft 1.1441 05.31.2006 Trojan:Win32/Delf.M
NOD32v2 1.1569 05.31.2006 Win32/Madtol.A
Norman 5.90.17 05.31.2006 W32/Madtol.E
Panda 9.0.0.4 05.30.2006 Trojan Horse
Sophos 4.05.0 05.31.2006 Troj/Madtol-A
Symantec 8.0 05.31.2006 Hacktool.Rootkit
TheHacker 5.9.8.151 05.29.2006 Trojan/Madtol.a
UNA 1.83 05.30.2006 Trojan.Win32.Madtol
VBA32 3.11.0 05.30.2006 Trojan.Win32.Madtol.a

und hier von DatFind:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von c:\

31.05.2006 13:14 0 dirdat.txt
31.05.2006 13:10 805.306.368 pagefile.sys
30.05.2006 15:14 1.024 .rnd
29.05.2006 19:28 886 DirDPF.txt
29.05.2006 19:28 2 DirDPFCns.txt
29.05.2006 19:27 1.676 sys.txt
29.05.2006 19:27 9.629 system.txt
29.05.2006 19:27 7.878 systemtemp.txt
29.05.2006 19:27 98.470 system32.txt
25.05.2006 14:02 211 boot.ini
20.05.2006 16:11 4.004 avenger.txt
19.05.2006 23:52 178 Dc4LicenseAI.key
12.05.2006 16:50 8.349 prefetch.txt
12.05.2006 16:49 13.565 Dsystemp.txt
12.05.2006 16:49 97.154 DSYS32.txt
12.05.2006 16:49 6.399 OW.txt
12.05.2006 16:49 9.675 DW.txt
12.05.2006 16:49 4.303 OP.txt
12.05.2006 16:49 114 DP.txt
12.05.2006 16:49 1.145 OC.txt
12.05.2006 16:49 1.205 DC.txt
08.05.2006 20:14 114 mta.ini
02.05.2006 22:17 10 mikznl.oah
02.05.2006 22:14 10 kclcdb.brq
25.04.2006 20:23 413 logdll.txt
23.04.2006 10:13 8.995 Dokumente
23.03.2006 23:34 47.564 NTDETECT.COM
23.03.2006 23:34 251.184 ntldr
23.03.2006 17:39 707 goc.log
23.03.2006 16:36 0 CONFIG.SYS
23.03.2006 16:36 0 MSDOS.SYS
23.03.2006 16:36 0 IO.SYS
23.03.2006 16:36 0 AUTOEXEC.BAT
Braunbar
 
Beiträge: 251
Registriert: 29.01.2006, 17:59
Wohnort: Salzgitter
Nach oben

Beitragvon Nikita am 31.05.2006, 14:08

poste bitte das Log (datfindbat) von c:\Windows\System32

-------------------------------------------------------------------------------------------------

CleanUp anwenden, um die temp-Dateien zu loeschen
http://virus-protect.org/cleanup.html

1.
öffne das HijackThis -- Button "scan" -- vor Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten
O4 - HKLM\..\Run: [example.exe] C:\WINDOWS\system32\example.exe

2.
PC neustarten

3.

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

C:\WINDOWS\system32\Explorer.dll
C:\WINDOWS\system32\Iexplorer.dll
C:\WINDOWS\system32\example.exe

PC neustarten

4.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

5.
RootkitRevealer -> poste das Log
http://www.sysinternals.com/Utilities/R ... ealer.html

6.
poste das log vom stuff
http://virus-protect.org/registry_stuff.html

-----------
Troj/Madtol-A legt die Dateien Explorer.dll und Iexplorer.dll in den Windows-Systemordner. Während der Trojaner aktiv ist, sind diese Dateien mitunter nicht sichtbar, wie auch der oben genannte Registrierungseintrag und sämtliche Dateien, Ordner, Registrierungseinträge und Nestat-Einträge, die der Trojaner so konfiguriert hat, dass sie versteckt werden.

Der Trojaner fügt seinen Tarn-Code in den EXPLORER-Prozess ein, so dass für die Desinfektion ein Neustart des Computers erforderlich ist.

example.exe
hidden.exe
iexplore.dll
readme.txt
rootkit.exe
http://www.pestpatrol.com/spywarecenter ... =453075171



Bck/Ratsou.A / Nicht desinfiziert / C:\WINDOWS\system32\rootkit-ice-packed.exe
Bck/Ratsou.A / Nicht desinfiziert / C:\WINDOWS\system32\explorer.dll
Bck/Ratsou.A / Nicht desinfiziert / C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\rootkit-ice-packed.exe


Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Braunbar am 31.05.2006, 16:40

Hier von system32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\WINDOWS\system32

31.05.2006 16:35 98.489 bpk.dat
31.05.2006 16:21 841 web.dat
31.05.2006 16:00 50.257 nvapps.xml
31.05.2006 16:00 77.326 OODBS.lor
31.05.2006 15:59 3.668 pk.bin
31.05.2006 13:44 49.152 nvsvcd.exe
31.05.2006 13:10 82.944 iexplore.dll
31.05.2006 13:10 13.038 wpa.dbl
30.05.2006 15:16 403.748 perfh009.dat
30.05.2006 15:16 63.554 perfc009.dat
30.05.2006 15:16 418.154 perfh007.dat
30.05.2006 15:16 76.206 perfc007.dat
30.05.2006 15:16 967.348 PerfStringBackup.INI
29.05.2006 21:23 155 SysPr.prx
26.05.2006 11:26 14 getfile.dat
21.05.2006 15:05 2.550 Uninstall.ico
21.05.2006 15:05 1.406 Help.ico
21.05.2006 15:05 30.590 pavas.ico
20.05.2006 15:56 384 tfonxmtk.txt
20.05.2006 13:48 18 ChkD66x2.bat

15.06.2005 19:49 295.936 kerberos.dll
11.06.2005 01:53 57.856 spoolsv.exe
31.05.2005 10:20 79.432 GEARAspi.dll
29.05.2005 20:08 40.960 bpkwb.dll
29.05.2005 20:08 732 inst.dat
29.05.2005 20:08 15 kw.dat
29.05.2005 20:08 15.872 bpkr.exe
29.05.2005 20:08 8.192 bpkhk.dll
29.05.2005 20:08 49 apps.dat
29.05.2005 20:08 385.024 bpk.exe
27.05.2005 04:04 41.472 hhsetup.dll
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 155.136 itircl.dll
27.05.2005 04:04 546.304 hhctrl.ocx
26.05.2005 15:34 2.297.552 d3dx9_26.dll



Kaspersky log:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, May 31, 2006 4:21:40 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 31/05/2006
Kaspersky Anti-Virus database records: 185572
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOKUME~1\Jan\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 16502
Number of viruses found: 3
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 00:12:58

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\bpkr.exe Infected: Trojan-Spy.Win32.Perfloger.a skipped
C:\WINDOWS\system32\iexplore.dll Infected: Trojan.Win32.Madtol.a skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\26exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\38exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\98exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\RarSFX0\rinst.exe Infected: Trojan-Spy.Win32.Perfloger.a skipped

Scan process completed.


RootkitRealver: (Ist das normal das das log 8MB groß ist? Habs deswegen bei Rapidshare hochgeladen)
http://rapidshare.de/files/21856498/Roo ... l.rar.html


stuff:
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"Group"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002e1a

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.exe"="C:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.exe:*:Enabled:SAMBC"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Programme\\Xfire\\Xfire.exe"="C:\\Programme\\Xfire\\Xfire.exe:*:Enabled:Xfire"
"C:\\Dokumente und Einstellungen\\Jan\\Desktop\\Jan\\Weisseradler-Script_1.071\\Weisseradler-Script 1.071\\mirc.exe"="C:\\Dokumente und Einstellungen\\Jan\\Desktop\\Jan\\Weisseradler-Script_1.071\\Weisseradler-Script 1.071\\mirc.exe:*:Enabled:mIRC"
"C:\\Python24\\pythonw.exe"="C:\\Python24\\pythonw.exe:*:Enabled:pythonw"
"C:\\Programme\\VoipStunt.com\\VoipStunt\\VoipStunt.exe"="C:\\Programme\\VoipStunt.com\\VoipStunt\\VoipStunt.exe:*:Enabled:VoipStunt"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQLite"
"C:\\Dokumente und Einstellungen\\Jan\\Desktop\\bifrost_1.1\\bifrost_1.1\\Bifrost.exe"="C:\\Dokumente und Einstellungen\\Jan\\Desktop\\bifrost_1.1\\bifrost_1.1\\Bifrost.exe:*:Enabled:Bifrost 1.1"
"C:\\Dokumente und Einstellungen\\Jan\\Desktop\\cia_trojan_1.3\\cia_trojan_1.3\\Cruel-Intentionz.exe"="C:\\Dokumente und Einstellungen\\Jan\\Desktop\\cia_trojan_1.3\\cia_trojan_1.3\\Cruel-Intentionz.exe:*:Enabled:C.I.A - Remote Administration Tool"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Steam\\SteamApps\\braunbar\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\SteamApps\\braunbar\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Autodesk\\backburner\\server.exe"="C:\\Programme\\Autodesk\\backburner\\server.exe:*:Enabled:backburner Server Application"
"C:\\Programme\\Autodesk\\backburner\\manager.exe"="C:\\Programme\\Autodesk\\backburner\\manager.exe:*:Enabled:backburner Manager Application"
"C:\\Programme\\Autodesk\\backburner\\monitor.exe"="C:\\Programme\\Autodesk\\backburner\\monitor.exe:*:Enabled:backburner Monitor Application"
"C:\\Programme\\Autodesk\\3dsMax8\\3dsmax.exe"="C:\\Programme\\Autodesk\\3dsMax8\\3dsmax.exe:*:Enabled:Autodesk 3ds Max 8"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Dokumente und Einstellungen\\Jan\\Desktop\\samp01b-server\\samp-server.exe"="C:\\Dokumente und Einstellungen\\Jan\\Desktop\\samp01b-server\\samp-server.exe:*:Enabled:samp-server"
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
"C:\\Dokumente und Einstellungen\\Jan\\Desktop\\Hacks\\cia_trojan_1.3\\cia_trojan_1.3\\Cruel-Intentionz.exe"="C:\\Dokumente und Einstellungen\\Jan\\Desktop\\Hacks\\cia_trojan_1.3\\cia_trojan_1.3\\Cruel-Intentionz.exe:*:Enabled:C.I.A - Remote Administration Tool"
"C:\\Dokumente und Einstellungen\\Jan\\Desktop\\Hacks\\bifrost_1.1\\bifrost_1.1\\Bifrost.exe"="C:\\Dokumente und Einstellungen\\Jan\\Desktop\\Hacks\\bifrost_1.1\\bifrost_1.1\\Bifrost.exe:*:Enabled:Bifrost 1.1"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Jan\\LOKALE~1\\Temp\\38exmodul32.exe"="C:\\DOKUME~1\\Jan\\LOKALE~1\\Temp\\38exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Jan\\LOKALE~1\\Temp\\98exmodul32.exe"="C:\\DOKUME~1\\Jan\\LOKALE~1\\Temp\\98exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Jan\\LOKALE~1\\Temp\\26exmodul32.exe"="C:\\DOKUME~1\\Jan\\LOKALE~1\\Temp\\26exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Jan\\LOKALE~1\\Temp\\67exmodul32.exe"="C:\\DOKUME~1\\Jan\\LOKALE~1\\Temp\\67exmodul32.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."
"DependOnGroup"=hex(7):00
"Group"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:14,6a,fc,e7,2f,1e,a2,47,ae,db,e0,c0,3f,a4,8b,89
"AdjustedNullSessionPipes"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum]
"0"="Root\\LEGACY_MESSENGER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\
14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\
00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\
5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\
5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00
"EnableDCOM"="Y"
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"LsaPid"=dword:00000444
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:85,dd,14,79,a4,e1,0d,4e,31,88,1f,e7,15,df,ff,d3,34,65,62,31,30,\
30,64,33,00,68,07,00,01,00,00,00,dc,00,00,00,e0,00,00,00,48,fa,06,00,97,55,\
52,74,04,00,00,00,a0,fd,06,00,b8,fd,06,00,98,38,bb,62

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:f8,9d,45,d7,5b,3e,8e,01,83

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:04,09,d7,84,5d,e6

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0]
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:b5,3f,6a,9c,11,ad,80,c5,51,0b,e6,08,d2,32,39,ad

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:06,22,54,fd,c4,4e,c6,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,c3,9c,9b,b5,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,77,61,a0,b5,79,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,a4,92,a1,b5,79,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]


Braunbar
 
Beiträge: 251
Registriert: 29.01.2006, 17:59
Wohnort: Salzgitter
Nach oben

Beitragvon Nikita am 31.05.2006, 19:47


loesche mit der Killbox

C:\WINDOWS\system32\bpk.dat
C:\WINDOWS\system32\web.dat
C:\Temp\data.exe
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\iexplore.dll
C:\WINDOWS\system32\Explorer.dll
C:\WINDOWS\system32\example.exe
C:\!KillBox\ckl009.dat
C:\!KillBox\del32.bat

C:\Dokumente und Einstellungen\Jan\Desktop\cia_trojan_1.3\cia_trojan_1.3\Cruel-Intentionz.exe
C:\Dokumente und Einstellungen\Jan\Desktop\Hacks\bifrost_1.1\bifrost_1.1\Bifrost.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\38exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\98exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\26exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\67exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\RarSFX0\rinst.exe
C:\WINDOWS\system32\bpkr.exe


pc neustarten

loesche:
C:\Dokumente und Einstellungen\Jan\Desktop\cia_trojan_1.3
C:\Dokumente und Einstellungen\Jan\Desktop\Hacks\bifrost_1.1

deinstallieren/loeschen
C:\Programme\Anti-Leech\ALIE_1.0.2.2\al2np.dll
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alhlp.exe
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alie.dll
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alie.inf
C:\Programme\Anti-Leech\ALIE_1.0.2.2\iesetup2.exe

C:\Programme\ErrorSafe\
C:\Programme\Gemeinsame Dateien\ErrorSafe\ESFF.exe
C:\Programme\Gemeinsame Dateien\ErrorSafe\ESPCheck.dll


C:\!KillBox\ -> leeren

wieso experimentierst du mit hacktools rum ?
eigentlich weiss ich garnicht, warum ich dir helfe....

-----------

dann scanne noch mal mit kaspersky und berichte

---------

dann solltest du mal deine ganzen Musikdateien auf CD abspeichern, denn dein Rechner muss in Kuerze mal formatiert werden, da er voellig kompromitiert ist..................
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Braunbar am 01.06.2006, 12:55

Ich werd ihn voll formatieren da es kein sinn hat zig sachen zumachen und nix hilft. :roll:


Wie kann ich nur 28GB sichern ??

Bericht:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, June 01, 2006 12:52:57 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 1/06/2006
Kaspersky Anti-Virus database records: 185681
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOKUME~1\Jan\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 16584
Number of viruses found: 1
Number of infected objects: 14
Number of suspicious objects: 0
Duration of the scan process: 00:15:45

Infected Object Name / Virus Name / Last Action
C:\DOKUME~1\Jan\LOKALE~1\Temp\11exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\12exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\17exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\31exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\35exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\36exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\38exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\43exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\51exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\73exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\74exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\89exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\8exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped
C:\DOKUME~1\Jan\LOKALE~1\Temp\90exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be skipped

Scan process completed.
Braunbar
 
Beiträge: 251
Registriert: 29.01.2006, 17:59
Wohnort: Salzgitter
Nach oben

Beitragvon Nikita am 01.06.2006, 12:58

viele CD´s kaufen und in Zukunft alle Daten auf eine andere Partition auslagern, z.b. : D:\

also nicht alles auf C:\ speichern, wo Windows ist, was man ab und zu mal formatieren muss..... und selbst dort nicht lassen, sondern immer alles auf CD brennen.
+
nicht mit hacktools rumspielen, das geht ins Auge...wie du sehen kannst..............


alles mit killbox loeschen:

C:\DOKUME~1\Jan\LOKALE~1\Temp\11exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\12exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\17exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\31exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\35exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\36exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\38exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\43exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\51exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\73exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\74exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\89exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\8exmodul32.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\90exmodul32.exe

C:\WINDOWS\system32\bpk.dat
C:\WINDOWS\system32\web.dat
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\iexplore.dll

C:\WINDOWS\system32\inst.dat
C:\WINDOWS\system32\kw.dat
C:\WINDOWS\system32\bpkr.exe
C:\WINDOWS\system32\bpkhk.dll
C:\WINDOWS\system32\apps.dat
C:\WINDOWS\system32\bpk.exe


dann die Killbox leeren, dann in die Registry gehen : bearbeiten - suchen
und alle diese exe aus der Registry loeschen + PC neustarten

-----------

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ ... Filter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
Zuletzt geändert von Nikita am 01.06.2006, 13:13, insgesamt 2-mal geändert.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Braunbar am 01.06.2006, 13:12

Muss aber sehr viele CDs kaufen. :roll:
könnte ich es eigentlich nicht auf ein anderen PC verschieben ?? (via LAN)

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038


Unknown Service # 14
Service Name: Windows Log
Display Name: Windows Log
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\nvsvcd.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch


---> End Service Listing <---

There are 99 Win32 services on this machine.
14 were unrecognized.

Script Execution Time: 4,609375 seconds.
Braunbar
 
Beiträge: 251
Registriert: 29.01.2006, 17:59
Wohnort: Salzgitter
Nach oben

Beitragvon Nikita am 01.06.2006, 13:16

1.
Start -> Ausführen --> schreib rein: notepad -- klicke OK.
oder , falls das Kommando nicht stimmt, öffne den Editor....

Dann kopiere folgenden Text rein:

sc stop Windows Log
sc delete Windows Log
del delete.bat

Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]



Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

----------------------------------------------------------------------------------------------------------------

Info:
http://virus-protect.org/artikel/dienste/nvsvcd.html
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Braunbar am 01.06.2006, 13:25

ok hab ich gemacht. :wink:


Und was hat das gebracht ?
Braunbar
 
Beiträge: 251
Registriert: 29.01.2006, 17:59
Wohnort: Salzgitter
Nach oben

Beitragvon Nikita am 01.06.2006, 13:54

was soll die Frage? Funktioniert dein Antivirus-Tool wieder ?
schau mal oben, da war noch einiges mit der Killbox zu loeschen.... und in der Registry zu reinigen........
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
Antwort erstellen

Ähnliche Themen

Externe USB-Festplatte wird nach Formatierung nicht erkannt.
Forum: Hardware-Hilfe
Autor: druid
Antworten:
nvidia Farbe auf TV funktioniert, aber nicht auf XP-Desktop
Forum: Hardware-Hilfe
Autor: Anonymous
Antworten:
Colin McRae 3 startet nicht.
Forum: Spiele-Probleme
Autor: scanner333
Antworten:
PC startet nicht und macht komische Geräusche
Forum: Software-Hilfe
Autor: Anonymous
Antworten:
kann "DFÜ-Speed" einfach nicht herrunterladen
Forum: Software-Hilfe
Autor: maus
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO