#1 25. November 2005 Hallo, ich hab folgendes PProblem, ich hab so einen spastyvirus aufm rechnen, der kann eig gar nichts, er will nur immer zu Open merchant verbinden, weis nicht warum... tja versteckt is er in C:\WINDOWS\system32\rundll32.exe anti vir erkennt ihn nicht. und Adaware auch nicht. jetzt kommt bei meiner Firewall ständig folgende meldung,, das geht mir schon am *****: Code: Die EXE-Datei wurde seit der letzten Verwendung von C:\WINDOWS\system32\rundll32.exe geändert. Dateiversion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Dateibeschreibung : Eine DLL-Datei als Anwendung ausführen Dateipfad : C:\WINDOWS\system32\rundll32.exe Prozess-ID : 678 (Heximal) 1656 (Dezimal) Verbindungsursprung : lokal initiert Protokoll : TCP Lokale Adresse : 81.10.233.213 Lokaler Port : 1159 Remote-Name : www.ad-w-a-r-e.com Remote-Adresse : 64.192.130.151 Remote-Port : 80 (HTTP - World Wide Web) Ethernet-Paket-Details: Ethernet II (Packet Length: 76) Destination: 00-d0-88-00-9e-93 Source: 00-e0-7d-a8-1c-81 Type: IP (0x0800) Internet Protocol Version: 4 Header Length: 20 bytes Flags: .1.. = Don't fragment: Set ..0. = More fragments: Not set Fragment offset:0 Time to live: 64 Protocol: 0x6 (TCP - Transmission Control Protocol) Header checksum: 0xff56 (Correct) Source: 81.10.233.213 Destination: 64.192.130.151 Transmission Control Protocol (TCP) Source port: 1159 Destination port: 80 Sequence number: 1075538341 Acknowledgment number: 0 hat jemand eine ideeee???
#4 25. November 2005 jo thx,,,@ xodox.. hijackthis hilft normal e immer aber diemal nicht,, hab jetzt mal hijack this drüber laufen lassen, hat aber nichts genuzt....
#5 25. November 2005 hmmm und wo ist das hijackthis logfile? hust. HijackThis Logfileauswertung ist zwar ganz nett, kann aber nicht alles finden. nun, dann gibt es da noch hijackfree a² aber vorsicht, benutzen auf eigene gefahr, den falschen eintrag dort löschen, und das system ist futsch. wenn das alles nichts hilft, empfehle ich dir herauszufinden, wo du das her hast. und in einer sandbox das system erneut zu verseuchen. dabei aber im hintergrund der sandbox ein paar überwachungsprogramme wie scotti (winpatrol) laufen zu lassen. mfg spotting
#6 25. November 2005 Logfile of HijackThis v1.99.1 Scan saved at 18:23:52, on 25.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Winamp\winampa.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Trillian\trillian.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Dokumente und Einstellungen\citlab\Desktop\SFT-Leecher\leecher.exe E:\Programme\HiJack This\HijackThis.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKCU\..\Run: [Trillian] C:\Programme\Trillian\trillian.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: policies - C:\WINDOWS\system32\gprsl3971.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe das is jetzt die log file-.
#7 26. November 2005 also ich finde da kein virus vieleicht wirst du dem attack ausgesetzt meine meinung nach und dein firewall blockiet das ganze ?( hast du unseriöse prog installiert oder dein pc im hintergrund ?
#8 26. November 2005 wasendas alles ? :: O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe Autostart schonmal durchforstet ? Systemwiederherstellung mal ausprobiert ? versuchmal den Rgcleaner 4.3 zu bekommen, meiner Meinung nach der Beste, und schau damit mal deine Autostart einträge an sowie deine Installierten Programme. Damit findest du auch Proggis, die sich im hintergrund installed haben und kannst die Deinstallen. Adaware6 schon Drüberlaufen lassen ? grüz KK
#9 26. November 2005 dies ist der ursprung für dein problem O20 - Winlogon Notify: policies - C:\WINDOWS\system32\gprsl3971.dll die kenn ich nicht und gehört wahrscheinlich nicht dahin. lösche diese datei mit killbox beim nächsten neustart, außerdem hmmm dir könnte sehr wahrscheinlich das programm pest patrol helfen. lade es dir aus dem forum, oder eine test version, und führe es im abgesicherten modus aus. lösche (bzw pack in die quarantäne) alles, das pest patrol findet. alternativ kannst du auch spy patrol nutzen. dann C:\Programme\Dassault Systemes ist ein programm, das dazu dient, dein lan zu überwachen. sehr gefährlich, aber von dir bewusst (vlt umbemerkt, aber absichtlich) installiert worden. deinstalliere es. C:\Programme\Netropa\Multimedia Keyboard gehört zu deinem keyboard. zumindest sollte es so sein. wenn du die zusätzlichen tasten deines keyboards nicht brauchst lösche/deinstalliere das auch. muss aber nicht sein. dann empfhele ich dir auch die seite http://www.ntsvcfg.de zu besuchen. lese lerne, und führe das script von der seite aus. ebenfalls solltest du activex und java im IE deaktivieren und in zukunft mit einem alternativen nicht auf dem ie basierendem brwoser surfen (firefox, opera) wenn das dein problem nicht löst, mache noch einen online virenscan mit panda und zeige mir die logfile von hijackthis (WICHTIG JETZT) im abgesicherten modus unter folgenden einstellungen !!! "open the misc tools section" -->"list also minor sections" Haken setzen -->"list also empty sections" Haken setzen "generate start up list log" mfg spotting
#10 27. November 2005 so,, ich hab jetzt mal O20 - Winlogon Notify: policies - C:\WINDOWS\system32\gprsl3971.dll gelöscht.. das ist von CATIA,,so nem Zeichenprogramm... O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe und das von meinem Keyboard,, eben wegen der SpezialTasten... O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe IE benuzt ich sowizo schon sehr lange nicht mehr...hatte früher imer viel viren...
#12 28. November 2005 und ist das problem gelöst? oder soll ich dir weitere anhaltspunkte zur lösungsfindung geben?
#13 29. November 2005 O20 - Winlogon Notify: policies - C:\WINDOWS\system32\gprsl3971.dll hab ich jetzt mal gelöscht, nur die war es nicht, war irgnedwine datei von meiner firewall, die dann nicht mehr funnktionierte.. tjo,,weiter tipps wären hilfreich
#14 29. November 2005 die rundll32.exe ist infiziert, so viel hast du herauusgefunden ! warum hast du sie bis jetzt nicht entfernt und durch eine original datei vom M$oft cd ersetzt ? EDIT/ da ein post von mir wegen datenbankfehler nicht angezeigt wird hier nochmal :
#15 29. November 2005 Also sowas ähnliches hatte ich auch schonmal, ich glaube auch die eigentlich harmlose Systemdatei wurde umgeschrieben. Hat denn bis jetzt einer der Links geholfen? Denn ich hatte damals im Internet auch nichts brauchbares gefunden (oder nicht gut gesucht). greetings, gsus
#16 29. November 2005 k, 1. Escan machen. http://virus-protect.net/escan.html Hier mal der Link mit Anleitung. Genau befolgen, Und Außerdem nochmal ein Hijackthislogfile machen. ABER nicht auf die normale art und weise, sondern, wenn du Hijackthis startest, klickst du auf Misc Tools section (oder so) dort wählst du den ersten sccan oben aus, vorher die beiden haken rechts direkt neben den scan starten button aktivieren. das logfile hier posten. ebenfalls dass logfile vom escan.
#17 29. November 2005 jo, das mit Open merchant ist komisch aber microsoft lässt sich oft neuen shice einfallen wenn der virus eben gestealht ist, kannst du ihn nicht durch den virenscanner erkennen, aber er versucht trotzdem schaden anzurichten, bzw. sich zu verbinden vielleicht haste ja in letzter zeit irgendwelche misteriösen updates gemacht
#18 30. November 2005 so, hier mal die von hijack this... Code: StartupList report, 30.11.2005, 12:36:39 StartupList version: 1.52.2 Started from : E:\Programme\HiJack This\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options * Including empty and uninteresting sections * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Trillian\trillian.exe C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Programme\HiJack This\HijackThis.exe C:\WINDOWS\system32\notepad.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\citlab\Startmenü\Programme\Autostart] *No files* Shell folders AltStartup: *Folder not found* User shell folders Startup: *Folder not found* User shell folders AltStartup: *Folder not found* Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] *No files* Shell folders Common AltStartup: *Folder not found* User shell folders Common Startup: *Folder not found* User shell folders Alternate Common Startup: *Folder not found* -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *Registry value not found* [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run AnyDVD = C:\Programme\SlySoft\AnyDVD\AnyDVD.exe MULTIMEDIA KEYBOARD = C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe NeroFilterCheck = C:\WINDOWS\System32\NeroCheck.exe TerraTec Remote Control = C:\Programme\TerraTec\Cinergy 600 TV\TTTVRC.exe DAEMON Tools = "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 VirtualCloneDrive = "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s WinampAgent = C:\Programme\Winamp\winampa.exe avgnt = "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Trillian = C:\Programme\Trillian\trillian.exe VoipBuster = "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] *No values found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- File association entry for .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .COM: HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .BAT: HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .PIF: HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\scrfile\shell\open\command (Default) = "%1" /S -------------------------------------------------- File association entry for .HTA: HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = C:\WINDOWS\System32\mshta.exe "%1" %* -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\INF\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] * StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT [{5945c046-1e7d-11d1-bc44-00c04fd912be}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry key not found* -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\system32\3PLANE~1.SCR drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: not hidden (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: not hidden (arrow overlay: NO!) .url: not hidden (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Verifying REGEDIT.EXE integrity: - Regedit.exe found in C:\WINDOWS - .reg open command is normal (regedit.exe %1) - Company name OK: 'Microsoft Corporation' - Original filename OK: 'REGEDIT.EXE' - File description: 'Registrierungs-Editor' Registry check passed -------------------------------------------------- Enumerating Browser Helper Objects: *No BHO's found* -------------------------------------------------- Enumerating Task Scheduler jobs: 1-Klick-Wartung.job -------------------------------------------------- Enumerating Download Program Files: [DirectAnimation Java Classes] CODEBASE = file://C:\WINDOWS\Java\classes\dajava.cab OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd [Microsoft XML Parser for Java] CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd [Java Plug-in 1.5.0_05] InProcServer32 = C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab [Java Plug-in 1.5.0_05] InProcServer32 = C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\WINDOWS\System32\mswsock.dll NameSpace #2: C:\WINDOWS\System32\winrnr.dll NameSpace #3: C:\WINDOWS\System32\mswsock.dll Protocol #1: C:\WINDOWS\system32\mswsock.dll Protocol #2: C:\WINDOWS\system32\mswsock.dll Protocol #3: C:\WINDOWS\system32\mswsock.dll Protocol #4: C:\WINDOWS\system32\rsvpsp.dll Protocol #5: C:\WINDOWS\system32\rsvpsp.dll Protocol #6: C:\WINDOWS\system32\mswsock.dll Protocol #7: C:\WINDOWS\system32\mswsock.dll Protocol #8: C:\WINDOWS\system32\mswsock.dll Protocol #9: C:\WINDOWS\system32\mswsock.dll Protocol #10: C:\WINDOWS\system32\mswsock.dll Protocol #11: C:\WINDOWS\system32\mswsock.dll Protocol #12: C:\WINDOWS\system32\mswsock.dll Protocol #13: C:\WINDOWS\system32\mswsock.dll -------------------------------------------------- Enumerating Windows NT/2000/XP services Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system) Adobe LM Service: "C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe" (manual start) Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start) Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system) Intel AGP-Bus-Filter: System32\DRIVERS\agp440.sys (system) Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled) Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start) AntiVir Scheduler: C:\Programme\AntiVir PersonalEdition Classic\sched.exe (autostart) AntiVir PersonalEdition Classic Service: C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (autostart) AnyDVD: System32\Drivers\AnyDVD.sys (manual start) Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start) Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system) Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start) avgio: \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys (system) avgntflt: \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys (manual start) Backbone Service: C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe -service (autostart) Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Cinergy 600 TV Capture: System32\DRIVERS\Cap7134.sys (manual start) CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system) Indexdienst: %SystemRoot%\system32\cisvc.exe (manual start) Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled) C-Media PCI Audio Driver (WDM): system32\drivers\cmaudio.sys (manual start) COM+-Systemanwendung: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart) DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Laufwerktreiber: System32\DRIVERS\disk.sys (system) Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start) dmboot: System32\drivers\dmboot.sys (disabled) Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system) dmload: System32\drivers\dmload.sys (system) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start) DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart) Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start) dtscsi: \SystemRoot\System32\Drivers\dtscsi.sys (manual start) ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start) ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart) ElbyDelay: System32\Drivers\ElbyDelay.sys (manual start) Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) COM+-Ereignissystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start) Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start) Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start) FltMgr: system32\drivers\fltmgr.sys (system) Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system) Gameport-Enumerator: System32\DRIVERS\gameenum.sys (manual start) Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start) Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) HTTP: System32\Drivers\HTTP.sys (manual start) HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start) i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system) Filtertreiber für CD-Brennen: System32\DRIVERS\imapi.sys (system) IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\System32\imapi.exe (manual start) InCD File System: system32\drivers\InCDFs.sys (disabled) InCDPass: system32\drivers\InCDPass.sys (system) InCD Reader: system32\drivers\InCDRm.sys (system) IntelIde: System32\DRIVERS\intelide.sys (system) IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start) Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start) IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start) Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start) IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system) IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start) PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system) Jukebox3: system32\DRIVERS\ctpdusb.sys (manual start) Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system) Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start) Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) LUMDriver: \??\C:\WINDOWS\system32\drivers\LUMDriver.sys (system) Machine Debug Manager: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE" (autostart) Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\System32\mnmsrvc.exe (manual start) Mausklassentreiber: System32\DRIVERS\mouclass.sys (system) Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start) MRXSMB: System32\DRIVERS\mrxsmb.sys (system) Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start) Multimedia Keyboard Filter Driver: System32\DRIVERS\msikbd2k.sys (system) Windows Installer: C:\WINDOWS\System32\msiexec.exe /V (manual start) Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start) Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start) Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start) Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start) Microsoft MPU-401 MIDI UART-Treiber: system32\drivers\msmpu401.sys (manual start) RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start) NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start) RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start) NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system) NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system) Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (disabled) Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (disabled) Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start) Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Netropa NHK Server: C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (autostart) NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start) Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) nv: System32\DRIVERS\nv4_mini.sys (manual start) NVIDIA Display Driver Service (Omega 1.6693) (P): %SystemRoot%\System32\nvsvc32.exe (autostart) Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start) Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start) O&O Defrag: C:\WINDOWS\system32\oodag.exe (autostart) Office Source Engine: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (manual start) Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start) PCI-Bus-Treiber: System32\DRIVERS\pci.sys (system) Plug & Play: %SystemRoot%\system32\services.exe (autostart) IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart) WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start) Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start) PxHelp20: System32\DRIVERS\PxHelp20.sys (system) Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system) Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start) RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start) Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start) Rdbss: System32\DRIVERS\rdbss.sys (system) RDPCDD: System32\DRIVERS\RDPCDD.sys (system) Treiber für Terminalserver-Geräteumleitung: System32\DRIVERS\rdpdr.sys (manual start) Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start) Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system) Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) RPC-Locator: %SystemRoot%\System32\locator.exe (manual start) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start) NT-Treiber für Realtek RTL8029(AS)-basierter PCI-Ethernetadapter: system32\DRIVERS\RTL8029.SYS (manual start) NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter: System32\DRIVERS\RTL8139.SYS (manual start) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start) Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Secdrv: System32\DRIVERS\secdrv.sys (manual start) Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start) Treiber für seriellen Anschluss: System32\DRIVERS\serial.sys (system) Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Sygate Personal Firewall Platinum: C:\Programme\Sygate\SPF\smc.exe (autostart) Sony USB-Filtertreiber (SONYPVU1): system32\DRIVERS\SONYPVU1.SYS (manual start) Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) sptd: System32\Drivers\sptd.sys (system) Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system) Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Srv: System32\DRIVERS\srv.sys (manual start) SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled) Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (manual start) Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start) Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start) MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{079D3BDE-1087-48BA-8B9B-34CBE79DDCA9} (manual start) Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start) Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start) Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system) Teefer for NT: SYSTEM32\Drivers\Teefer.sys (system) Terminal-Gerätetreiber: System32\DRIVERS\termdd.sys (system) Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Telnet: C:\WINDOWS\System32\tlntsvr.exe (disabled) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Cinergy 600 TV Tuner: System32\DRIVERS\PhTvTune.sys (manual start) TuneUp WinStyler Theme Service: "C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe" (manual start) Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start) Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (disabled) Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start) Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: System32\DRIVERS\usbehci.sys (manual start) USB2-aktivierter Hub: System32\DRIVERS\usbhub.sys (manual start) Miniporttreiber für Microsoft USB Open Host-Controller: System32\DRIVERS\usbohci.sys (manual start) Microsoft USB-Druckerklasse: System32\DRIVERS\usbprint.sys (manual start) USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start) Miniporttreiber für universellen Microsoft USB-Hostcontroller: System32\DRIVERS\usbuhci.sys (manual start) VClone: system32\DRIVERS\VClone.sys (system) VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system) Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start) Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start) Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start) Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) SyGate for NT, wg3n: \SystemRoot\SYSTEM32\Drivers\wg3n.sys (autostart) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Portable Media Serial Number Service: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Treibererweiterungen für Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WMI-Leistungsadapter: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start) wpsdrvnt: \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (system) Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Automatische Updates: %systemRoot%\System32\svchost.exe -k netsvcs (disabled) Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: *Registry value not found* -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll UPnPMonitor: C:\WINDOWS\system32\upnpui.dll -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- End of report, 32.903 bytes Report generated in 0,141 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only und die von escan mussich erst machen...
#19 30. November 2005 LUMDriver: \??\C:\WINDOWS\system32\drivers\LUMDriver.sys (system) Dieser Eintrag macht mir Sorgen. den kennt google nicht. ergo gehört der auch nicht zu windows steht aber im systemstart. lade diese datei bei jotti hoch. link http://virusscan.jotti.org/de/ versuch einmal ohne diese datei zu starten. aber auf eigene verantwortung. lösche mit killbox diese datei beim nächsten systemstart.
#20 30. November 2005 er sagt, die datei is in ordnung bei allen scannern...?? und dass die rundll.exe infisziert is weiß ich schon,, ersetzt habich sie auch schon mal mit einer anderen...doch nach einen neustart ist sie wieder die alte....mhm
#21 30. November 2005 LUMDriver.sys gehört zu Catia,ich denke, das du diese Soft installiert hast. Bei der Installation von R13/R14 wird der "LUMDriver.sys" ins Windows Betriebssystem integriert. Wenn hier Probleme auftauchen, diese hatte ich schon mehrfach, muss die Funktionalität des LUMDriver getestet werden, ggf. den LUMDriver neu installieren. 1) Der LUMDriver wird von CATIA mitgeliefert. Ihr findet ihn im Verzeichnis: ...\intel_a\reffiles Wichtig sind die beiden Dateien: ...\intel_a\reffiles\LUMDriver.sys ...\intel_a\reffiles\lumdevdi.exe 2) Mit Hilfe des Programms "lumdevdi.exe" wird der Treiber "LUMDriver.sys" in das Verzeichnis C:\WINDOWS\system32\drivers kopiert und einige Registry Einträge erstellt. Nach dem nächsten Reboot sollte der Treiber funktionieren. 3) Test des Treibers: Start / Alle Programme / Zubehör / Systemprogramme / Systeminformationen / Softwareumgebung / Systemtreiber (siehe Anlage) An dieser Stelle auch der Hinweis, dass für R14 unbedingt ein Servicepak verwendet werden muss. Zum LUM Server: Patch 2 http://www-306.ibm.com/software/applications/plm/support/prodannounce.html#040123
#22 30. November 2005 du must auf deinem system nach rundll32 suchen, die ordner aufschreiben in dem die datei vorkommt und dann ohne windows booten und alle gefundenen loeschen es sind mindestens zwei vorhanden und wenn du die im dllchace nicht geloescht hast wird sie bei neustart wieder im system32 wiederhergestellt ! anschliesend von einem sicheren datentraeger rundll32 reinkopieren
#23 1. Dezember 2005 @ babbal k, das hab ich nicht finden können. ok, dann revidiere ich meine meinung zu dieser datei. dann bleibt mir nur noch zwei dinge zu sagen. escan, wi der link, den ich unten gepostet habe, formatieren. ein austauschen der rundll32 würde zwar das starten des viruses verhindern, aber er wäre trotzdem noch da.
#24 1. Dezember 2005 jo ich hab catia installiert,, is die version v5R14 aber ich kann mir nicht vorstellen, dass der comishe rundll.exe virus was mit catia zu tun hat, da der verus schon da war, wie ich catia noch gar nicht installt habe.
#25 1. Dezember 2005 hmm eine idee hab ich noch. wenn die rundll32.exe geändert werden soll, dann muss es auch jmd, geben, der diese datei ändern will. mit dem programm winpatrol kann man sich anzeigen lassen, wenn eine systemdatei oder ein reg eintrag geändert werden soll. oder mit dem prgramm process explorer von Windows Sysinternals: Documentation, downloads and additional resources kann man sich wirklich alle processe ansehen lassen, die man mit der rundll oder der svhost momentan am laufen hat, und welche dateien momentan benutzt werden. oder mit dem peexplorer kann man die .exe deassemblieren (oder so) also sich den quellcode in halbwegs verständlicher sprache anzeigen lassen, und so herausfinden, wo welche datei daraus gestartet werden soll. oder ... mit dem programm hijackfree von a² kann man sich noch ein paar mehr einträge anzeigen lassen als mit hijackthis. (macht aber kein so schnell auswertbares logfile, ist also zum selber auswerten) Achtung, da kann man ne ganze menge mit kaputt machen, wenn man falsche einträge löscht.!!! hmmmmm machs mit dem process explorere zunächst. und mit escan den pc scannen ... fehlt noch