Virus...wird nicht erkannt, obwohl er da ist.

Dieses Thema im Forum "Windows" wurde erstellt von nigga, 25. November 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 25. November 2005
    Hallo,

    ich hab folgendes PProblem, ich hab so einen spastyvirus aufm rechnen, der kann eig gar nichts, er will nur immer zu Open merchant verbinden, weis nicht warum...

    tja versteckt is er in C:\WINDOWS\system32\rundll32.exe



    anti vir erkennt ihn nicht. und Adaware auch nicht.

    jetzt kommt bei meiner Firewall ständig folgende meldung,, das geht mir schon am *****:

    Code:
    Die EXE-Datei wurde seit der letzten Verwendung von C:\WINDOWS\system32\rundll32.exe geändert.
    Dateiversion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    Dateibeschreibung : Eine DLL-Datei als Anwendung ausführen
    Dateipfad : C:\WINDOWS\system32\rundll32.exe
    Prozess-ID : 678 (Heximal) 1656 (Dezimal)
    
    Verbindungsursprung : lokal initiert
    Protokoll : TCP
    Lokale Adresse : 81.10.233.213
    Lokaler Port : 1159 
    Remote-Name : www.ad-w-a-r-e.com
    Remote-Adresse : 64.192.130.151
    Remote-Port : 80 (HTTP - World Wide Web)
    
    Ethernet-Paket-Details:
    Ethernet II (Packet Length: 76)
     Destination: 00-d0-88-00-9e-93
     Source: 00-e0-7d-a8-1c-81
    Type: IP (0x0800)
    Internet Protocol
     Version: 4
     Header Length: 20 bytes
     Flags:
     .1.. = Don't fragment: Set
     ..0. = More fragments: Not set
     Fragment offset:0
     Time to live: 64
     Protocol: 0x6 (TCP - Transmission Control Protocol)
     Header checksum: 0xff56 (Correct)
     Source: 81.10.233.213
     Destination: 64.192.130.151
    Transmission Control Protocol (TCP)
     Source port: 1159
     Destination port: 80
     Sequence number: 1075538341
     Acknowledgment number: 0
    hat jemand eine ideeee???
     

  2. Anzeige
  3. #2 25. November 2005
    das ist kein virus
     
  4. #3 25. November 2005
  5. #4 25. November 2005
    jo thx,,,@ xodox.. hijackthis hilft normal e immer aber diemal nicht,, hab jetzt mal hijack this drüber laufen lassen, hat aber nichts genuzt....
     
  6. #5 25. November 2005
    hmmm und wo ist das hijackthis logfile?

    hust.

    HijackThis Logfileauswertung ist zwar ganz nett, kann aber nicht alles finden.

    nun, dann gibt es da noch hijackfree a²

    aber vorsicht, benutzen auf eigene gefahr,
    den falschen eintrag dort löschen, und das system ist futsch.

    wenn das alles nichts hilft, empfehle ich dir herauszufinden, wo du das her hast. und in einer sandbox das system erneut zu verseuchen. dabei aber im hintergrund der sandbox ein paar überwachungsprogramme wie scotti (winpatrol) laufen zu lassen.

    mfg spotting
     
  7. #6 25. November 2005
    Logfile of HijackThis v1.99.1
    Scan saved at 18:23:52, on 25.11.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\oodag.exe
    C:\Programme\Winamp\winampa.exe
    C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
    C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
    C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe
    C:\Programme\DAEMON Tools\daemon.exe
    C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    C:\Programme\Trillian\trillian.exe
    C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
    C:\Programme\Netropa\Onscreen Display\OSD.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Dokumente und Einstellungen\citlab\Desktop\SFT-Leecher\leecher.exe
    E:\Programme\HiJack This\HijackThis.exe

    O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKCU\..\Run: [Trillian] C:\Programme\Trillian\trillian.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O20 - Winlogon Notify: policies - C:\WINDOWS\system32\gprsl3971.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
    O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
    O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe




    das is jetzt die log file-.
     
  8. #7 26. November 2005
    also ich finde da kein virus vieleicht wirst du dem attack ausgesetzt
    meine meinung nach und dein firewall blockiet das ganze ?( hast du unseriöse prog installiert oder dein pc im hintergrund ?
     
  9. #8 26. November 2005
    wasendas alles ? ::

    O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
    O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe


    Autostart schonmal durchforstet ?

    Systemwiederherstellung mal ausprobiert ?

    versuchmal den Rgcleaner 4.3 zu bekommen,
    meiner Meinung nach der Beste, und schau damit mal deine Autostart einträge an

    sowie deine Installierten Programme.

    Damit findest du auch Proggis, die sich im hintergrund installed haben
    und kannst die Deinstallen.

    Adaware6 schon Drüberlaufen lassen ?

    grüz
    KK
     
  10. #9 26. November 2005
    dies ist der ursprung für dein problem

    O20 - Winlogon Notify: policies - C:\WINDOWS\system32\gprsl3971.dll

    die kenn ich nicht und gehört wahrscheinlich nicht dahin.

    lösche diese datei mit killbox beim nächsten neustart,

    außerdem
    hmmm dir könnte sehr wahrscheinlich das programm pest patrol helfen.
    lade es dir aus dem forum, oder eine test version, und führe es im abgesicherten modus aus.
    lösche (bzw pack in die quarantäne) alles, das pest patrol findet.
    alternativ kannst du auch spy patrol nutzen.


    dann
    C:\Programme\Dassault Systemes ist ein programm, das dazu dient, dein lan zu überwachen.
    sehr gefährlich, aber von dir bewusst (vlt umbemerkt, aber absichtlich) installiert worden.
    deinstalliere es.

    C:\Programme\Netropa\Multimedia Keyboard gehört zu deinem keyboard. zumindest sollte es so sein.
    wenn du die zusätzlichen tasten deines keyboards nicht brauchst lösche/deinstalliere das auch. muss aber nicht sein.

    dann empfhele ich dir auch die seite http://www.ntsvcfg.de zu besuchen.
    lese lerne, und führe das script von der seite aus.

    ebenfalls solltest du activex und java im IE deaktivieren und in zukunft mit einem alternativen nicht auf dem ie basierendem brwoser surfen (firefox, opera)

    wenn das dein problem nicht löst, mache noch einen online virenscan mit panda

    und zeige mir die logfile von hijackthis (WICHTIG JETZT)
    im abgesicherten modus unter folgenden einstellungen !!!
    "open the misc tools section"

    -->"list also minor sections" Haken setzen
    -->"list also empty sections" Haken setzen
    "generate start up list log"

    mfg spotting
     
  11. #10 27. November 2005
    so,,


    ich hab jetzt mal
    O20 - Winlogon Notify: policies - C:\WINDOWS\system32\gprsl3971.dll
    gelöscht..


    das ist von CATIA,,so nem Zeichenprogramm...
    O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe

    und das von meinem Keyboard,, eben wegen der SpezialTasten...
    O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe

    IE benuzt ich sowizo schon sehr lange nicht mehr...hatte früher imer viel viren...
     
  12. #11 28. November 2005
    kann mir keiner noch einen tipp geben??
     
  13. #12 28. November 2005
    und ist das problem gelöst?

    oder soll ich dir weitere anhaltspunkte zur lösungsfindung geben?
     
  14. #13 29. November 2005
    O20 - Winlogon Notify: policies - C:\WINDOWS\system32\gprsl3971.dll

    hab ich jetzt mal gelöscht, nur die war es nicht, war irgnedwine datei von meiner firewall, die dann nicht mehr funnktionierte..


    tjo,,weiter tipps wären hilfreich
     
  15. #14 29. November 2005
    die rundll32.exe ist infiziert, so viel hast du herauusgefunden !

    warum hast du sie bis jetzt nicht entfernt und durch eine original datei
    vom M$oft cd ersetzt ?

    EDIT/

    da ein post von mir wegen datenbankfehler nicht angezeigt wird
    hier nochmal :
     
  16. #15 29. November 2005
    Also sowas ähnliches hatte ich auch schonmal, ich glaube auch die eigentlich harmlose Systemdatei wurde umgeschrieben. Hat denn bis jetzt einer der Links geholfen? Denn ich hatte damals im Internet auch nichts brauchbares gefunden (oder nicht gut gesucht).
    greetings,
    gsus
     
  17. #16 29. November 2005
    k,

    1.

    Escan machen.
    http://virus-protect.net/escan.html
    Hier mal der Link mit Anleitung.
    Genau befolgen,


    Und Außerdem nochmal ein Hijackthislogfile machen.
    ABER
    nicht auf die normale art und weise, sondern,
    wenn du Hijackthis startest, klickst du auf Misc Tools section (oder so)
    dort wählst du den ersten sccan oben aus,
    vorher die beiden haken rechts direkt neben den scan starten button aktivieren.

    das logfile hier posten.
    ebenfalls dass logfile vom escan.
     
  18. #17 29. November 2005
    jo, das mit Open merchant ist komisch
    aber microsoft lässt sich oft neuen shice einfallen
    wenn der virus eben gestealht ist, kannst du ihn nicht durch den virenscanner erkennen, aber er versucht trotzdem schaden anzurichten, bzw. sich zu verbinden
    vielleicht haste ja in letzter zeit irgendwelche misteriösen updates gemacht ;)
     
  19. #18 30. November 2005
    so, hier mal die von hijack this...

    Code:
    StartupList report, 30.11.2005, 12:36:39
    StartupList version: 1.52.2
    Started from : E:\Programme\HiJack This\HijackThis.EXE
    Detected: Windows XP SP2 (WinNT 5.01.2600)
    Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    * Using default options
    * Including empty and uninteresting sections
    * Showing rarely important sections
    ==================================================
    
    Running processes:
    
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\oodag.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
    C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
    C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe
    C:\Programme\DAEMON Tools\daemon.exe
    C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    C:\Programme\Winamp\winampa.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Trillian\trillian.exe
    C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe
    C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
    C:\Programme\Netropa\Onscreen Display\OSD.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    E:\Programme\HiJack This\HijackThis.exe
    C:\WINDOWS\system32\notepad.exe
    
    --------------------------------------------------
    
    Listing of startup folders:
    
    Shell folders Startup:
    [C:\Dokumente und Einstellungen\citlab\Startmenü\Programme\Autostart]
    *No files*
    
    Shell folders AltStartup:
    *Folder not found*
    
    User shell folders Startup:
    *Folder not found*
    
    User shell folders AltStartup:
    *Folder not found*
    
    Shell folders Common Startup:
    [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
    *No files*
    
    Shell folders Common AltStartup:
    *Folder not found*
    
    User shell folders Common Startup:
    *Folder not found*
    
    User shell folders Alternate Common Startup:
    *Folder not found*
    
    --------------------------------------------------
    
    Checking Windows NT UserInit:
    
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    UserInit = C:\WINDOWS\system32\userinit.exe,
    
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
    *Registry key not found*
    
    [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    *Registry value not found*
    
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    
    AnyDVD = C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
    MULTIMEDIA KEYBOARD = C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
    NeroFilterCheck = C:\WINDOWS\System32\NeroCheck.exe
    TerraTec Remote Control = C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe
    DAEMON Tools = "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
    VirtualCloneDrive = "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    WinampAgent = C:\Programme\Winamp\winampa.exe
    avgnt = "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    
    *No values found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    
    *No values found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    
    *No values found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    
    Trillian = C:\Programme\Trillian\trillian.exe
    VoipBuster = "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    
    *No values found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
    
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
    
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
    
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    
    [OptionalComponents]
    *No values found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    *No subkeys found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    *No subkeys found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    *No subkeys found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    *No subkeys found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    *No subkeys found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
    *Registry key not found*
    
    --------------------------------------------------
    
    File association entry for .EXE:
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    
    (Default) = "%1" %*
    
    --------------------------------------------------
    
    File association entry for .COM:
    HKEY_CLASSES_ROOT\comfile\shell\open\command
    
    (Default) = "%1" %*
    
    --------------------------------------------------
    
    File association entry for .BAT:
    HKEY_CLASSES_ROOT\batfile\shell\open\command
    
    (Default) = "%1" %*
    
    --------------------------------------------------
    
    File association entry for .PIF:
    HKEY_CLASSES_ROOT\piffile\shell\open\command
    
    (Default) = "%1" %*
    
    --------------------------------------------------
    
    File association entry for .SCR:
    HKEY_CLASSES_ROOT\scrfile\shell\open\command
    
    (Default) = "%1" /S
    
    --------------------------------------------------
    
    File association entry for .HTA:
    HKEY_CLASSES_ROOT\htafile\shell\open\command
    
    (Default) = C:\WINDOWS\System32\mshta.exe "%1" %*
    
    --------------------------------------------------
    
    File association entry for .TXT:
    HKEY_CLASSES_ROOT\txtfile\shell\open\command
    
    (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1
    
    --------------------------------------------------
    
    Enumerating Active Setup stub paths:
    HKLM\Software\Microsoft\Active Setup\Installed Components
    (* = disabled by HKCU twin)
    
    [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    StubPath = C:\WINDOWS\INF\unregmp2.exe /ShowWMP
    
    [>{26923b43-4d38-484f-9b9e-de460746276c}] *
    StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
    
    [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
    StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
    
    [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
    StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
    
    [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
    StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
    
    [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
    StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
    
    [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
    StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
    
    [{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
    StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
    
    [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
    StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub
    
    [{7790769C-0471-11d2-AF11-00C04FA35D02}] *
    StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
    
    [{89820200-ECBD-11cf-8B85-00AA005B4340}] *
    StubPath = regsvr32.exe /s /n /i:U shell32.dll
    
    [{89820200-ECBD-11cf-8B85-00AA005B4383}] *
    StubPath = %SystemRoot%\system32\ie4uinit.exe
    
    --------------------------------------------------
    
    Enumerating ICQ Agent Autostart apps:
    HKCU\Software\Mirabilis\ICQ\Agent\Apps
    
    *Registry key not found*
    
    --------------------------------------------------
    
    Load/Run keys from C:\WINDOWS\WIN.INI:
    
    load=*INI section not found*
    run=*INI section not found*
    
    Load/Run keys from Registry:
    
    HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
    HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
    HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
    HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
    HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
    HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
    HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
    HKCU\..\Windows NT\CurrentVersion\Windows: load=
    HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=
    
    --------------------------------------------------
    
    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
    
    Shell=*INI section not found*
    SCRNSAVE.EXE=*INI section not found*
    drivers=*INI section not found*
    
    Shell & screensaver key from Registry:
    
    Shell=Explorer.exe
    SCRNSAVE.EXE=C:\WINDOWS\system32\3PLANE~1.SCR
    drivers=*Registry value not found*
    
    Policies Shell key:
    
    HKCU\..\Policies: Shell=*Registry key not found*
    HKLM\..\Policies: Shell=*Registry value not found*
    
    --------------------------------------------------
    
    Checking for EXPLORER.EXE instances:
    
    C:\WINDOWS\Explorer.exe: PRESENT!
    
    C:\Explorer.exe: not present
    C:\WINDOWS\Explorer\Explorer.exe: not present
    C:\WINDOWS\System\Explorer.exe: not present
    C:\WINDOWS\System32\Explorer.exe: not present
    C:\WINDOWS\Command\Explorer.exe: not present
    C:\WINDOWS\Fonts\Explorer.exe: not present
    
    --------------------------------------------------
    
    Checking for superhidden extensions:
    
    .lnk: HIDDEN! (arrow overlay: yes)
    .pif: not hidden (arrow overlay: yes)
    .exe: not hidden
    .com: not hidden
    .bat: not hidden
    .hta: not hidden
    .scr: not hidden
    .shs: HIDDEN!
    .shb: HIDDEN!
    .vbs: not hidden
    .vbe: not hidden
    .wsh: not hidden
    .scf: not hidden (arrow overlay: NO!)
    .url: not hidden (arrow overlay: yes)
    .js: not hidden
    .jse: not hidden
    
    --------------------------------------------------
    
    Verifying REGEDIT.EXE integrity:
    
    - Regedit.exe found in C:\WINDOWS
    - .reg open command is normal (regedit.exe %1)
    - Company name OK: 'Microsoft Corporation'
    - Original filename OK: 'REGEDIT.EXE'
    - File description: 'Registrierungs-Editor'
    
    Registry check passed
    
    --------------------------------------------------
    
    Enumerating Browser Helper Objects:
    
    *No BHO's found*
    
    --------------------------------------------------
    
    Enumerating Task Scheduler jobs:
    
    1-Klick-Wartung.job
    
    --------------------------------------------------
    
    Enumerating Download Program Files:
    
    [DirectAnimation Java Classes]
    CODEBASE = file://C:\WINDOWS\Java\classes\dajava.cab
    OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd
    
    [Microsoft XML Parser for Java]
    CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab
    OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
    
    [Java Plug-in 1.5.0_05]
    InProcServer32 = C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab
    
    [Java Plug-in 1.5.0_05]
    InProcServer32 = C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab
    
    --------------------------------------------------
    
    Enumerating Winsock LSP files:
    
    NameSpace #1: C:\WINDOWS\System32\mswsock.dll
    NameSpace #2: C:\WINDOWS\System32\winrnr.dll
    NameSpace #3: C:\WINDOWS\System32\mswsock.dll
    Protocol #1: C:\WINDOWS\system32\mswsock.dll
    Protocol #2: C:\WINDOWS\system32\mswsock.dll
    Protocol #3: C:\WINDOWS\system32\mswsock.dll
    Protocol #4: C:\WINDOWS\system32\rsvpsp.dll
    Protocol #5: C:\WINDOWS\system32\rsvpsp.dll
    Protocol #6: C:\WINDOWS\system32\mswsock.dll
    Protocol #7: C:\WINDOWS\system32\mswsock.dll
    Protocol #8: C:\WINDOWS\system32\mswsock.dll
    Protocol #9: C:\WINDOWS\system32\mswsock.dll
    Protocol #10: C:\WINDOWS\system32\mswsock.dll
    Protocol #11: C:\WINDOWS\system32\mswsock.dll
    Protocol #12: C:\WINDOWS\system32\mswsock.dll
    Protocol #13: C:\WINDOWS\system32\mswsock.dll
    
    --------------------------------------------------
    
    Enumerating Windows NT/2000/XP services
    
    Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
    Adobe LM Service: "C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe" (manual start)
    Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start)
    Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system)
    Intel AGP-Bus-Filter: System32\DRIVERS\agp440.sys (system)
    Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
    Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start)
    AntiVir Scheduler: C:\Programme\AntiVir PersonalEdition Classic\sched.exe (autostart)
    AntiVir PersonalEdition Classic Service: C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (autostart)
    AnyDVD: System32\Drivers\AnyDVD.sys (manual start)
    Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
    Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start)
    Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system)
    Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start)
    Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start)
    avgio: \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys (system)
    avgntflt: \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys (manual start)
    Backbone Service: C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe -service (autostart)
    Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Cinergy 600 TV Capture: System32\DRIVERS\Cap7134.sys (manual start)
    CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system)
    Indexdienst: %SystemRoot%\system32\cisvc.exe (manual start)
    Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled)
    C-Media PCI Audio Driver (WDM): system32\drivers\cmaudio.sys (manual start)
    COM+-Systemanwendung: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
    Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
    DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
    DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Laufwerktreiber: System32\DRIVERS\disk.sys (system)
    Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start)
    dmboot: System32\drivers\dmboot.sys (disabled)
    Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system)
    dmload: System32\drivers\dmload.sys (system)
    Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start)
    DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
    Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start)
    dtscsi: \SystemRoot\System32\Drivers\dtscsi.sys (manual start)
    ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start)
    ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart)
    ElbyDelay: System32\Drivers\ElbyDelay.sys (manual start)
    Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
    COM+-Ereignissystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
    Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start)
    Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start)
    FltMgr: system32\drivers\fltmgr.sys (system)
    Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system)
    Gameport-Enumerator: System32\DRIVERS\gameenum.sys (manual start)
    Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start)
    Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    HTTP: System32\Drivers\HTTP.sys (manual start)
    HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
    i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system)
    Filtertreiber für CD-Brennen: System32\DRIVERS\imapi.sys (system)
    IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\System32\imapi.exe (manual start)
    InCD File System: system32\drivers\InCDFs.sys (disabled)
    InCDPass: system32\drivers\InCDPass.sys (system)
    InCD Reader: system32\drivers\InCDRm.sys (system)
    IntelIde: System32\DRIVERS\intelide.sys (system)
    IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start)
    Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start)
    IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start)
    Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start)
    IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system)
    IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start)
    PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system)
    Jukebox3: system32\DRIVERS\ctpdusb.sys (manual start)
    Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system)
    Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start)
    Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
    LUMDriver: \??\C:\WINDOWS\system32\drivers\LUMDriver.sys (system)
    Machine Debug Manager: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE" (autostart)
    Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\System32\mnmsrvc.exe (manual start)
    Mausklassentreiber: System32\DRIVERS\mouclass.sys (system)
    Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start)
    MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
    Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start)
    Multimedia Keyboard Filter Driver: System32\DRIVERS\msikbd2k.sys (system)
    Windows Installer: C:\WINDOWS\System32\msiexec.exe /V (manual start)
    Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start)
    Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start)
    Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start)
    Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start)
    Microsoft MPU-401 MIDI UART-Treiber: system32\drivers\msmpu401.sys (manual start)
    RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start)
    NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start)
    RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start)
    NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system)
    NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system)
    Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (disabled)
    Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (disabled)
    Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start)
    Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Netropa NHK Server: C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (autostart)
    NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start)
    Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
    nv: System32\DRIVERS\nv4_mini.sys (manual start)
    NVIDIA Display Driver Service (Omega 1.6693) (P): %SystemRoot%\System32\nvsvc32.exe (autostart)
    Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start)
    Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start)
    O&O Defrag: C:\WINDOWS\system32\oodag.exe (autostart)
    Office Source Engine: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (manual start)
    Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start)
    PCI-Bus-Treiber: System32\DRIVERS\pci.sys (system)
    Plug & Play: %SystemRoot%\system32\services.exe (autostart)
    IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart)
    WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
    Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
    QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start)
    Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start)
    PxHelp20: System32\DRIVERS\PxHelp20.sys (system)
    Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system)
    Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
    RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start)
    Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start)
    Rdbss: System32\DRIVERS\rdbss.sys (system)
    RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
    Treiber für Terminalserver-Geräteumleitung: System32\DRIVERS\rdpdr.sys (manual start)
    Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start)
    Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system)
    Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
    RPC-Locator: %SystemRoot%\System32\locator.exe (manual start)
    Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
    QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
    NT-Treiber für Realtek RTL8029(AS)-basierter PCI-Ethernetadapter: system32\DRIVERS\RTL8029.SYS (manual start)
    NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter: System32\DRIVERS\RTL8139.SYS (manual start)
    Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
    Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start)
    Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    Secdrv: System32\DRIVERS\secdrv.sys (manual start)
    Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
    Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start)
    Treiber für seriellen Anschluss: System32\DRIVERS\serial.sys (system)
    Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
     Sygate Personal Firewall Platinum: C:\Programme\Sygate\SPF\smc.exe (autostart)
    Sony USB-Filtertreiber (SONYPVU1): system32\DRIVERS\SONYPVU1.SYS (manual start)
    Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start)
    Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
    sptd: System32\Drivers\sptd.sys (system)
    Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system)
    Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Srv: System32\DRIVERS\srv.sys (manual start)
    SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
    Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (manual start)
    Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start)
    Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start)
    MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{079D3BDE-1087-48BA-8B9B-34CBE79DDCA9} (manual start)
    Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start)
    Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start)
    Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system)
    Teefer for NT: SYSTEM32\Drivers\Teefer.sys (system)
    Terminal-Gerätetreiber: System32\DRIVERS\termdd.sys (system)
    Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
    Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Telnet: C:\WINDOWS\System32\tlntsvr.exe (disabled)
    Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
    Cinergy 600 TV Tuner: System32\DRIVERS\PhTvTune.sys (manual start)
    TuneUp WinStyler Theme Service: "C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe" (manual start)
    Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start)
    Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
    Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start)
    Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: System32\DRIVERS\usbehci.sys (manual start)
    USB2-aktivierter Hub: System32\DRIVERS\usbhub.sys (manual start)
    Miniporttreiber für Microsoft USB Open Host-Controller: System32\DRIVERS\usbohci.sys (manual start)
    Microsoft USB-Druckerklasse: System32\DRIVERS\usbprint.sys (manual start)
    USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start)
    Miniporttreiber für universellen Microsoft USB-Hostcontroller: System32\DRIVERS\usbuhci.sys (manual start)
    VClone: system32\DRIVERS\VClone.sys (system)
    VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system)
    Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start)
    Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start)
    Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start)
    Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
    SyGate for NT, wg3n: \SystemRoot\SYSTEM32\Drivers\wg3n.sys (autostart)
    Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
    Portable Media Serial Number Service: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    Treibererweiterungen für Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    WMI-Leistungsadapter: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
    wpsdrvnt: \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (system)
    Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
    Automatische Updates: %systemRoot%\System32\svchost.exe -k netsvcs (disabled)
    Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
    
    
    --------------------------------------------------
    
    Enumerating Windows NT logon/logoff scripts:
    *No scripts set to run*
    
    Windows NT checkdisk command:
    BootExecute = autocheck autochk *
    
    Windows NT 'Wininit.ini':
    PendingFileRenameOperations: *Registry value not found*
    
    --------------------------------------------------
    
    Enumerating ShellServiceObjectDelayLoad items:
    
    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
    CDBurn: C:\WINDOWS\system32\SHELL32.dll
    WebCheck: C:\WINDOWS\System32\webcheck.dll
    SysTray: C:\WINDOWS\System32\stobject.dll
    UPnPMonitor: C:\WINDOWS\system32\upnpui.dll
    
    --------------------------------------------------
    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    
    *Registry key not found*
    
    --------------------------------------------------
    
    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    
    *Registry key not found*
    
    --------------------------------------------------
    
    End of report, 32.903 bytes
    Report generated in 0,141 seconds
    
    Command line options:
     /verbose - to add additional info on each section
     /complete - to include empty sections and unsuspicious data
     /full - to include several rarely-important sections
     /force9x - to include Win9x-only startups even if running on WinNT
     /forcent - to include WinNT-only startups even if running on Win9x
     /forceall - to include all Win9x and WinNT startups, regardless of platform
     /history - to list version history only
    
    und die von escan
    mussich erst machen...
     
  20. #19 30. November 2005
    LUMDriver: \??\C:\WINDOWS\system32\drivers\LUMDriver.sys (system)

    Dieser Eintrag macht mir Sorgen.

    den kennt google nicht.

    ergo gehört der auch nicht zu windows

    steht aber im systemstart.

    lade diese datei bei jotti hoch.
    link http://virusscan.jotti.org/de/


    versuch einmal ohne diese datei zu starten.
    aber auf eigene verantwortung.

    lösche mit killbox diese datei beim nächsten systemstart.
     
  21. #20 30. November 2005
    er sagt, die datei is in ordnung bei allen scannern...??


    und dass die rundll.exe infisziert is weiß ich schon,, ersetzt habich sie auch schon mal mit einer anderen...doch nach einen neustart ist sie wieder die alte....mhm
     
  22. #21 30. November 2005
    LUMDriver.sys gehört zu Catia,ich denke, das du diese Soft installiert hast.

    Bei der Installation von R13/R14 wird der "LUMDriver.sys" ins Windows Betriebssystem integriert. Wenn hier Probleme auftauchen, diese hatte ich schon mehrfach, muss die Funktionalität des LUMDriver getestet werden, ggf. den LUMDriver neu installieren.
    1) Der LUMDriver wird von CATIA mitgeliefert. Ihr findet ihn im Verzeichnis: ...\intel_a\reffiles
    Wichtig sind die beiden Dateien:
    ...\intel_a\reffiles\LUMDriver.sys
    ...\intel_a\reffiles\lumdevdi.exe
    2) Mit Hilfe des Programms "lumdevdi.exe" wird der Treiber "LUMDriver.sys" in das Verzeichnis
    C:\WINDOWS\system32\drivers kopiert und einige Registry Einträge erstellt. Nach dem nächsten Reboot sollte der Treiber funktionieren.
    3) Test des Treibers: Start / Alle Programme / Zubehör / Systemprogramme / Systeminformationen / Softwareumgebung / Systemtreiber (siehe Anlage)

    An dieser Stelle auch der Hinweis, dass für R14 unbedingt ein Servicepak verwendet werden muss.

    Zum LUM Server: Patch 2 http://www-306.ibm.com/software/applications/plm/support/prodannounce.html#040123
     
  23. #22 30. November 2005
    du must auf deinem system nach rundll32 suchen, die ordner
    aufschreiben in dem die datei vorkommt und dann ohne windows
    booten und alle gefundenen loeschen
    es sind mindestens zwei vorhanden und wenn du die im dllchace
    nicht geloescht hast wird sie bei neustart wieder im system32
    wiederhergestellt !
    anschliesend von einem sicheren datentraeger rundll32 reinkopieren
     
  24. #23 1. Dezember 2005
    @ babbal

    k, das hab ich nicht finden können.

    ok, dann revidiere ich meine meinung zu dieser datei.

    dann bleibt mir nur noch zwei dinge zu sagen.

    escan, wi der link, den ich unten gepostet habe,

    formatieren.

    ein austauschen der rundll32 würde zwar das starten des viruses verhindern, aber er wäre trotzdem noch da.
     
  25. #24 1. Dezember 2005
    jo ich hab catia installiert,, is die version v5R14

    aber ich kann mir nicht vorstellen, dass der comishe rundll.exe virus was mit catia zu tun hat, da der verus schon da war, wie ich catia noch gar nicht installt habe.
     
  26. #25 1. Dezember 2005
    hmm eine idee hab ich noch.

    wenn die rundll32.exe geändert werden soll,
    dann muss es auch jmd, geben, der diese datei ändern will.

    mit dem programm winpatrol kann man sich anzeigen lassen, wenn eine systemdatei oder ein reg eintrag geändert werden soll.

    oder

    mit dem prgramm process explorer von Windows Sysinternals: Documentation, downloads and additional resources kann man sich wirklich alle processe ansehen lassen, die man mit der rundll oder der svhost momentan am laufen hat, und welche dateien momentan benutzt werden.

    oder

    mit dem peexplorer kann man die .exe deassemblieren (oder so) also sich den quellcode in halbwegs verständlicher sprache anzeigen lassen, und so herausfinden, wo welche datei daraus gestartet werden soll.

    oder ...

    mit dem programm hijackfree von a² kann man sich noch ein paar mehr einträge anzeigen lassen als mit hijackthis.
    (macht aber kein so schnell auswertbares logfile, ist also zum selber auswerten) Achtung, da kann man ne ganze menge mit kaputt machen, wenn man falsche einträge löscht.!!!


    hmmmmm

    machs mit dem process explorere zunächst.

    und mit escan den pc scannen ... fehlt noch
     

  27. Videos zum Thema
Die Seite wird geladen...
Similar Threads - Virus obwohl
  1. Antworten:
    0
    Aufrufe:
    5.007
  2. Antworten:
    7
    Aufrufe:
    1.039
  3. Virus auf dem PC?

    Siebenstein , 27. November 2016 , im Forum: Windows
    Antworten:
    11
    Aufrufe:
    1.646
  4. Virus-Android-Figur

    ::TrOY , 12. September 2016 , im Forum: Allgemeines & Sonstiges
    Antworten:
    3
    Aufrufe:
    1.423
  5. Antworten:
    0
    Aufrufe:
    886