Habe ein bisschen bei Google recherchiert. Die drei besagten Dienste sind normalerweise offiziell von Microsoft. Da man die gelöschten 023-Services bei HijackThis nicht wieder herstellen kann, lasse ich da lieber erstmal die Finger von.

Gibt es außer Formatieren noch eine andere Lösung?

Danke + gute Nacht!
Ändru

Hallo,
da die betreffenden Dateien sowieso nicht mehr vorhanden sind, kannst du die O23 Einträge ruhig löschen, das sind so der so nur noch "Leichen" von einer Deinstallation.
Zu einer Neuinstallation sehe ich noch keinen Grund, vielleicht haben ja andere User noch eine Idee. Du könntest mal noch einen Onlinescan bei Panda machen und berichten was der so meint.


Grüße Wildone

Hi wildone,

danke für den Panda-Tipp. So sieht das Scan-Ergebnis aus:

Adware:adware/cws Nicht desinfiziert C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\AdultGambling.url Adware:adware/block-checker Nicht desinfiziert Windows-Registry

Den ersten habe ich im abgesicherten Zustand bereits gelöscht.

Was die 023-Einträge im hjt-log angeht: Wieso sind das nur "Leichen"? Da wurde doch eigentlich nichts dran gemacht. Löschen will ich die nicht, da offenbar systemrelevant.

Gruß
Ändru

Hallo,
also noch mal kurz zu den O23 Einträgen, die Prozesse die diese aufrufen sollen sind ja schon nicht mehr vorhanden, siehe das "file missing" in Klammern hinter den Beiträgen. aber du kannst die auch lassen, ich glaube sowieso nicht das von dort das Problem ausgeht.
Schau mal noch ob CWShredder etwas bei dir findet, und berichte.


Grüße Wildone

Hi,

CWShredder hat leider nichts entdeckt.

Keine Ahnung, ob das irgendwas mit dem Problem zu tun hat (oder ob ich schon die Flöhe husten höre): Unter C:\ taucht neben den ganzen Ordnern eine einzige, nicht versteckte Datei auf: inst.exe. Bin mir nicht sicher, ob die da schon immer war. Vielleicht gehört sie ja auch dahin. Auf jeden Fall lässt sie sich nicht löschen, da sie "von einer anderen Person bzw. Programm verwendet wird".

Immer noch in Kontakt mir der Ukraine
Ändru

Die inst.exe gefällt mir nicht:
http://www.sophos.de/virusinfo/analyses/trojdelfha.html
bzw. eher der
http://www.sophos.de/virusinfo/analy...2delodera.html

Versuche die Datei mal im abgesicherten Modus zu löschen bzw. benutze Killbox.

Hallo,
also so einfach löschen würde ich die Datei nicht, ich denke nämlich nicht das sie zwingend böse ist, kann auch ein CD-Rom Treiber o.ä. sein. Da in den Virenbeschreibungen nicht von dem Pfad C:\ geredet wird, und auch keine der Autostarteinträge vorhanden ist wäre ich erstmal vorsichtig. Versuche mal die Datei im abgesicherten Modus in einen anderen Ordner zu kopieren und überprüfe sie dann hier

[EDIT]
Denke jetzt doch das es Malware ist, glaube aber eher an den hier, bin mir aber nicht sicher.
[/EDIT]

Grüße Wildone

Da war ich wohl zu schnell. Die Killbox hat bereits ihren Dienst getan. Genützt hat es allerdings auch nichts. Wie komme ich an das backup bzw. wie kann ich die Datei wieder herstellen, falls sie doch wichtig ist?

Gruß
Ändru

PS: Zu meiner ursprünglichen Frage: Wenn ich die fragliche 017-Datei in der Registry lösche oder verändere, bringt das irgendwas? Ganz laienhaft gedacht: Wenn ich z. B. dort einfach die IP des Ukrainers durch die IP meines Providers ersetze? Oder ist das totaler Humbug?

Zur Erinnerung:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

das ist wahrscheinlich ein Ableger vom Wareout, bin mir aber nicht sicher.

ich brauche viele Daten, um es sehen zu koennen.

FindT
http://bilder.informationsarchiv.net...ools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread

Winpfind
http://virus-protect.net/winpfind.html

Datfinbad - abarbeiten und alle 4 Logs in den Thread kopieren (mit Pfad)
http://virus-protect.net/datfindbat.html

Silentrunners
http://virus-protect.net/silentrunner.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor -- und poste alles, was angezeigt wird.

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

Zitat:

Nach Angaben von www.Ripe.net/whois sind die beiden IPs einem Hosting in Charkow,


% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: abuse@inhoster.com
remarks: Network problems to: noc@inhoster.com
remarks: Peering requests to: peering@inhoster.com
remarks: -----------------------------------
country: UA

Hi Sabina,

da ist ein ziemlich üppiges Datenpaket zusammengekommen (bei datFind.bat habe ich wie empfohlen nur die aktuelleren Einträge kopiert).

Da ich in den Anhang nur 19,5 kb packen darf, gibt es einen Teil hier, den anderen als txt-Datei.

Schon mal vielen Dank für Deine Hilfe!!
Ändru

PS: Soll ich den Host Script weider aktivieren oder spielt das keine Rolle?


FindT


C:\WINDOWS\BALLOON.WAV




datFind.bat


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: A0DB-9126


Verzeichnis von C:\WINDOWS\system32


05.10.2005 11:00 0 asfiles.txt
05.10.2005 10:54 2.550 Uninstall.ico
05.10.2005 10:54 1.406 Help.ico
05.10.2005 10:54 1.718 Open.ico
05.10.2005 10:54 1.406 AddQuit.ico
05.10.2005 10:54 5.350 IE.ico
05.10.2005 10:54 9.470 Desktop.ico
05.10.2005 10:54 1.718 Quick.ico
05.10.2005 00:06 32.768 mnmsrvc.exe
04.10.2005 11:10 2.262 wpa.dbl
30.09.2005 17:08 2.855 edit.PIF
29.09.2005 15:10 2.953 CONFIG.NT
29.07.2005 21:07 73.728 asuninst.exe


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: A0DB-9126


Verzeichnis von C:\DOKUME~1\Andreas\LOKALE~1\Temp


05.10.2005 15:59 512 ~DF7850.tmp
05.10.2005 15:59 47.484 ~WRS3310.tmp
05.10.2005 15:31 512 ~DF6E96.tmp
05.10.2005 15:30 256 ZLT03b7a.TMP
04.10.2005 20:11 16 parcce.dat
01.10.2005 11:21 1.274.557 GRD$LOGFILE.LOG
29.09.2005 15:17 217.829 avg7inst.log
29.09.2005 15:06 512 ~DF7481.tmp
28.09.2005 11:47 1.457 TWAIN.LOG
28.09.2005 11:47 4 Twain001.Mtx
27.09.2005 17:58 102 8A56EAB7.TMP
21.09.2005 11:14 45.096 _VWUPSRV.EXE
06.09.2005 17:50 5.541 EXF148.tmp
06.09.2005 17:40 5.575 EXF13D.tmp
06.09.2005 17:24 6.583 EXF128.tmp
06.09.2005 17:18 6.696 EXF11D.tmp
06.09.2005 15:25 10.932 EXFFA.tmp
06.09.2005 14:46 156 Twunk001.MTX
06.09.2005 14:45 589.824 ~PST1215.tmp
06.09.2005 14:45 589.824 ~PST1201.tmp
06.09.2005 14:45 8.142 EXFD6.tmp
06.09.2005 14:44 6.014 EXF85.tmp
21.08.2005 15:06 798.234 IMT17.xml
21.08.2005 15:06 426 IMT16.xml
21.08.2005 15:06 2.036 IMT15.xml
06.08.2005 13:38 19.527 219_huk24_120X600_klippe.gif
01.08.2005 18:29 40 garmana.ram


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: A0DB-9126


Verzeichnis von C:\WINDOWS


05.10.2005 15:30 0 0.log
05.10.2005 15:30 157 wiadebug.log
05.10.2005 15:30 50 wiaservc.log
05.10.2005 15:29 51 iTouch.ini
05.10.2005 15:29 2.048 bootstat.dat
05.10.2005 15:28 412.054 WindowsUpdate.log
05.10.2005 14:49 435 system.ini
05.10.2005 10:57 746 win.ini
05.10.2005 10:55 291.742 setupapi.log
30.09.2005 10:01 3.303 tm.ini
29.09.2005 15:16 632.374 ntbtlog.txt
29.09.2005 14:38 502 ODBC.INI
25.09.2005 18:24 6.400 balloon.wav
22.09.2005 18:18 90.143 wmsetup.log
23.07.2005 20:53 9.264 ocmsn.log


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: A0DB-9126


Verzeichnis von C:\


05.10.2005 16:12 0 sys.txt
05.10.2005 16:11 8.422 system.txt
05.10.2005 16:08 188.665 systemtemp.txt
05.10.2005 16:04 98.692 system32.txt
05.10.2005 15:29 402.653.184 pagefile.sys
05.10.2005 14:22 17.342 hpfr6500.log
04.10.2005 23:38 194 boot.ini
04.10.2005 22:34 2.586 eScan_neu.txt
04.10.2005 21:51 0 23990098.$$$
04.10.2005 21:51 6 AVPCallback.log
04.10.2005 20:09 8.964.608 mwav.exe


Silentrunner



"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/

Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

--------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"EM_EXEC" = "C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "]

"Omnipage" = "C:\Programme\ScanSoft\OmniPageSE\opware32.exe" ["ScanSoft, Inc"]

"Zone Labs Client" = "C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe" ["Zone Labs Inc."]

"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc. "]

"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

"dmzok.exe" = "C:\WINDOWS\system32\dmzok.exe" [file not found]



HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]



HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v7"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]



HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

INFECTION WARNING! "System" = "csdlr.exe" [null data]



HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

BitDefender Antivirus v7\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]

PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\PowerArchiver\PASHLEXT.DLL" ["eFront Media, Inc."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]





f-secure-Beta Trial


10/05/05 16:30:44 [Info]: BlackLight Engine 1.0.23 initialized
10/05/05 16:30:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/05/05 16:30:44 [Note]: 4019 4
10/05/05 16:30:44 [Note]: 4005 0
10/05/05 16:31:05 [Note]: 4006 0
10/05/05 16:31:05 [Note]: 4011 1484
10/05/05 16:31:05 [Note]: FSRAW library version 1.7.1011
10/05/05 16:31:41 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
10/05/05 16:31:41 [Note]: 10002 1
10/05/05 16:31:48 [Info]: Hidden file: C:\WINDOWS\system32\csdlr.exe
10/05/05 16:31:48 [Note]: 4002 32
10/05/05 16:31:48 [Note]: 4003 1
10/05/05 16:31:48 [Note]: 10002 1

CCleaner
http://www.ccleaner.com/ccdownload.asp
(man bei CCleaner als Administrator angemeldet sein)
lösche alle temp-Dateien



oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine war.reg auf dem Desktop)

http://virus-protect.net/reg/war.reg

KILLBOX

http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\WINDOWS\system32\csdlr.exe
C:\WINDOWS\BALLOON.WAV
C:\WINDOWS\system32\dmzok.exe


und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "war.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

dann scanne noch mal mit silentrunner
fixe vorher den 017-Eintrag im HijackThis und starte den PC neu, stelle eine neue Verbindung her.

und mache einen Onlinescan mit kaspersky
http://virus-protect.net/onlinescan.html

---------------------------------------

WinPFind

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...
qoologic 05.10.2005 15:52:10 202953 C:\Programme\WinPFind.zip

Checking %WinDir% folder...
UPX! 24.09.2004 15:59:18 25088 C:\WINDOWS\inst_tsp.exe
UPX! 31.10.2004 18:05:40 30720 C:\WINDOWS\killproc.exe
UPX! 18.09.1997 06:12:48 7680 C:\WINDOWS\sporder.exe
aspack 26.09.2002 20:23:34 115712 C:\WINDOWS\SSSUn.EXE

Checking %System% folder...
UPX! 09.07.2005 11:03:06 433152 C:\WINDOWS\SYSTEM32\aswBoot.exe
PEC2 31.08.2001 21:21:38 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 31.08.2001 21:24:28 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
05.10.2005 15:29:18 S 2048 C:\WINDOWS\bootstat.dat
05.10.2005 15:29:22 S 64 C:\WINDOWS\CSC\00000001
29.09.2005 15:19:46 S 64 C:\WINDOWS\CSC\00000002
29.09.2005 15:01:14 S 64 C:\WINDOWS\CSC\csc1.tmp
05.10.2005 15:30:58 H 1024 C:\WINDOWS\system32\config\default.LOG
05.10.2005 15:29:22 H 1024 C:\WINDOWS\system32\config\SAM.LOG
05.10.2005 15:32:14 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
05.10.2005 15:57:46 H 1024 C:\WINDOWS\system32\config\software.LOG
05.10.2005 15:54:50 H 1024 C:\WINDOWS\system32\config\system.LOG
29.09.2005 15:10:42 H 1024 C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG

Checking for CPL files...
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Teleca Software Solutions AB 12.01.2004 13:05:52 344064 C:\WINDOWS\SYSTEM32\ecsepm.cpl
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems 22.02.2004 23:44:42 61555 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 31.08.2001 21:23:10 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 31.08.2001 21:23:32 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 31.08.2001 21:23:42 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
29.12.2002 01:14:38 81920 C:\WINDOWS\SYSTEM32\Startup.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 31.08.2001 21:24:18 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 03.08.2004 13:59:08 168216 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 31.08.2001 21:23:10 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 31.08.2001 21:23:32 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 31.08.2001 21:23:42 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 31.08.2001 21:24:18 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
02.04.2003 16:30:34 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
03.04.2003 11:09:02 1720 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
02.04.2003 17:18:10 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
02.04.2003 16:30:34 HS 84 C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
02.04.2003 17:18:10 HS 62 C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\desktop.ini
04.11.2004 18:33:10 28336 C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BitDefender Antivirus v7
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\PowerArchiver
{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e} = C:\Programme\PowerArchiver\PASHLEXT.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BitDefender Antivirus v7
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\PowerArchiver
{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e} = C:\Programme\PowerArchiver\PASHLEXT.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
EM_EXEC C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
Omnipage C:\Programme\ScanSoft\OmniPageSE\opware32.exe
Zone Labs Client C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
zBrowser Launcher C:\Programme\Logitech\iTouch\iTouch.exe
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandFrom

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandTo

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 805


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
•
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\SSSUn.EXE
C:\WINDOWS\inst_tsp.exe
C:\WINDOWS\killproc.exe
C:\WINDOWS\sporder.exe

C:\WINDOWS\CSC\00000001
C:\WINDOWS\CSC\00000002
C:\WINDOWS\CSC\csc1.tmp

Zitat:

05.10.2005 10:54 9.470 Desktop.ico
05.10.2005 10:54 1.718 Quick.ico
05.10.2005 00:06 32.768 mnmsrvc.exe
04.10.2005 11:10 2.262 wpa.dbl

Hi Sabina,

habe alles brav befolgt (war es bei CCleaner ok, dass ich nur Häkchen bei Internet Explorer + System -> temporäre Datein gesetzt habe?). Der 017-Eintrag ist leider immer noch da.

Das hat übrigens Kaspersky beim onlinescan entdeckt:

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/27 Mar 2004 14:49 from o.bahr@macnews.de:Mail Delivery (failure .rtf Suspicious: Exploit.HTML.Iframe.FileDownload

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Suspicious: Exploit.HTML.Iframe.FileDownload

C:\Programme\Softwin\BitDefender Free Edition\Infected\hwiper.exe Infected: Trojan.Win32.Qhost.dv

C:\WINDOWS\system32\csszn.exe Infected: Trojan-Downloader.Win32.Agent.uj


Und sind die Ergebnisse von von virustotal / Jottis:


C:\WINDOWS\system32\mnmsrvc.exe

alle: no virus found


C:\WINDOWS\SSSUn.EXE

Fortinet: suspiscious

EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war…)



C:\WINDOWS\inst_tsp.exe

Fortinet: suspiscious

EVENTUELL INFIZIERT/MALWARE (s. o.)



C:\WINDOWS\killproc.exe

alle: no virus found

EVENTUELL INFIZIERT/MALWARE (s. o.)



C:\WINDOWS\sporder.exe

Fortinet: suspiscious

EVENTUELL INFIZIERT/MALWARE (s. o.)



C:\WINDOWS\CSC\00000001
alle: no virus found



C:\WINDOWS\CSC\00000002
alle: no virus found



C:\WINDOWS\CSC\csc1.tmp

alle: no virus found



Die Bösen wieder in die Killbox?

Danke für die professionelle Hilfe!
Ändru

KILLBOX

http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\WINDOWS\system32\csdlr.exe
C:\WINDOWS\BALLOON.WAV
C:\WINDOWS\system32\dmzok.exe
C:\WINDOWS\SSSUn.EXE
C:\WINDOWS\System32\dmhdk.exe
C:\WINDOWS\inst_tsp.exe
C:\WINDOWS\system32\hwiper.exe
C:\Programme\Softwin\BitDefender Free Edition\Infected\hwiper.exe
C:\WINDOWS\killproc.exe
C:\WINDOWS\sporder.exe
C:\WINDOWS\system32\csszn.exe

PC neustarten

ich traue der C:\WINDOWS\system32\mnmsrvc.exe nicht, da sie am 5.Oktober ploetzlich erscheint.....

Click Start > Ausfuehren> sigverif > OK
click OK and Start.
Der computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet)

poste, was angezeigt wird (das heisst...was nicht authentifiziert wurde)

Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring kopierst


{C2349EC2-87A3-498B-B38C-D58638991E90}


Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt

Fixe mit dem HijackThis:-->das ist alles nicht "koescher", aber darum kummere ich mich spaeter.

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C (file missing)

neustarten

Hallo Sabina,

dass C:\WINDOWS\system32\mnmsrvc.exe plötzlich auftauchte, könnte evtl. daran liegen, dass ich mit dem XP Tuner PRO bestimmte ("unnötige") Dienste erst deaktiviert und dann wieder aktiviert habe. Angeblich sind die 023-Einträge offizielle Microsoft-Geschichten. Nachdem ich sie wieder deaktiviert habe, tauchen sie auch nicht mehr im hjt-Log auf. Was natürlich nichts an dem lästigen 017-Eintrag geändert hat.

And here are the results from...

Sigverif

[c:\windows\system]

airplus.bin 19.05.2002 Keine Nicht signiert Nicht zutreffend

airplus.bin 19.05.2002 Keine Nicht signiert Nicht zutreffend

airplus.sys 19.05.2002 1.2.2.22 Nicht signiert Nicht zutreffend


REGEDIT4
; RegSrch.vbs © Bill James



; Registry search results for string "{C2349EC2-87A3-498B-B38C-D58638991E90}" 07.10.2005 17:55:17







[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters]

"{C2349EC2-87A3-498B-B38C-D58638991E90}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{C2349EC2-87A3-498B-B38C-D58638991E90}]



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{C2349EC2-87A3-498B-B38C-D58638991E90}]



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Dhcp\Parameters]

"{C2349EC2-87A3-498B-B38C-D58638991E90}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Parameters\Interfaces\Tcpip_{C2349EC2-87A3-498B-B38C-D58638991E90}]



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{C2349EC2-87A3-498B-B38C-D58638991E90}]



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]

"{C2349EC2-87A3-498B-B38C-D58638991E90}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{C2349EC2-87A3-498B-B38C-D58638991E90}]



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C2349EC2-87A3-498B-B38C-D58638991E90}]



Danke + schönes Wochenende!
Ändru