Application has changed since the last time you opened it, process id: 8
Filename: C:\WINNT\system32\ntoskrnl.exe
The change was denied by user.

---- Modules changed: 1 ----
C:\WINNT\system32\ntoskrnl.exe
---- New modules: 0 ----

das teil blockt meine firewall immer was ist das?? iss das teil gefährlich

Also ich habe bei Google mal nachgesehen scheint eine Systemdatei für NT und W2K zu sein.

Kann es sein dass Du nen wurm auf deiner festplatte hast?

es gibt welche die löschen z.B. systemdateien..

W32/Fakerr.A@mm,...

WORM_AVPATCH.A ist ein Wurm, der als angebliches Update des Virenscanners Norton Antivirus via Outlook und populäre Peer-to-Peer Netzwerke verschickt wird.

[ 04. Januar 2004, 20:40: Beitrag editiert von: Summerwind1980 ]

@panikserver
</font><blockquote>Zitat:</font><hr /> Application has changed since the last time you opened it, process id: 8
Filename: C:\WINNT\system32\ntoskrnl.exe
The change was denied by user.
---- Modules changed: 1 ----
C:\WINNT\system32\ntoskrnl.exe
---- New modules: 0 ----
das teil blockt meine firewall immer was ist das?? iss das teil gefährlich </font>[/QUOTE]"das teil" ist eine Win-Systemdatei
...was heißt "blockt deine FW"? Was für eine FW hast du? Wird das Programm geschloßen? Wie merkst du das? Was sagt dein Virenscanner dazu? Die Datei dürfte infolge der Installation eines Programms geändert werden. Ohne eines AV-Scan- oder Hijackthis-Protokoll ist ganz schwer etwas zu sagen.

benuze firewall sygate und die blockt halt mal, kommt immer ein fenster und da fragt der ob ich ihn reinlasse oder nicht lass nartürlich keinen rein ausser gates gg
und wenn das nun eine Win-Systemdatei ist, wieso will da dann immer connecten bei mir, oder wird das teil verschikt mit dem selben namen und die überschreibt dann meine alte Win-Systemdatei???

das teil wollte gard wieder rein schon zweimal heute iss aber immer ne andere ip nr

klar alles gescannt aber nix mit avk hier die log :
Logfile of HijackThis v1.97.7
Scan saved at 00:53:50, on 06.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\betrieb\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\Creative\SBLive2k\Program\CTAvTray.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\YSERVER.EXE
C:\Betrieb\Firebird\MozillaFirebird.exe
C:\Betrieb\WinRAR\WinRAR.exe
C:\DOKUME~1\SUPERJ~1\LOKALE~1\Temp\Rar$EX00.001\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/slv/ycheck/as.../info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/slv/ycheck/as.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as...om/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir...=ie&ar=msnhome
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SmcService] C:\betrieb\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive2k\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive2k\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...985.5903240741
O16 - DPF:nr XXXXXXXXXXXXXXX(Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{nrXXXXXXXXXXXXXXX

Moin panikserver,

ich habe jetzt in verschiedenen Beiträgen gelesen, dass Du die 'Firewall' von Sygate benutzt, aber ich kann mich nicht erinnern, das Du irgendwo geschrieben hast, ob und wenn ja, welches Antivirenprogramm du einsetzt. Die Log-Datei lässt allerdings darauf schließen, dass Du keinen Virenscanner einsetzt!

Bei einem Blick auf dein Log fällt mir folgendes als erstes auf:
</font><blockquote>Zitat:</font><hr />C:\WINNT\system32\internat.exe</font>[/QUOTE]Diese Datei solltest Du als erstes mal hier überprüfen: http://www.kaspersky.com/remoteviruschk.html

Ansonsten würde wohl auch ein Online-Scan mit RAV und/oder TrendMicro ganz hilfreich sein. Links dazu findest Du beispielsweise hier: http://www.bul-online.de/av/onlinescan.shtml

Melde Dich anschließend noch mal, ob und was gefunden wurde, ggf. mit einem neuen HijackThis-Log.

tschööö, DerBilk

ahjo, unn geb am besten gleich noch deine ip an...
die kiddies brauchen ja nicht immer extra auf den cs-server gehen oder dich im irc suchen, ist doch viel einfache so lÄÄÄÄÄÄÖÖÖÖÖÄÄÄÄÄÄÄl