Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
System beschäftigt sich selbst

System beschäftigt sich selbst


Log-Analyse und Auswertung: System beschäftigt sich selbst

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 3 1 2 3
Alt 25.10.2006, 11:39   #16
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Hier der Stille Läufer:

(Hierbei soll ich Dich schön von Peter Norton grüßen, der den Silentrunner für ein ganz und gar bösartiges Programm hält - ich hab' ihn beruhigt, d.h. skipped).

"Silent Runners.vbs", revision 49, h**p://w*w.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"ATIPTA" = "(empty string)" [file not found]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{83A30C59-3A50-49E6-9DAF-4923C4EA3C23}\(Default) = "WebSpeechBHO Class"
-> {HKLM...CLSID} = "WebSpeechBHO Class"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll" ["G DATA Software AG"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = (no title provided)
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{43886CD5-6529-41c4-A707-7B3C92C05E68}" = "IE Navigation Bar"
-> {HKLM...CLSID} = "IE Navigation Bar"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE AutoComplete"
-> {HKLM...CLSID} = "IE AutoComplete"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{4B78D326-D922-44f9-AF2A-07805C2A3560}" = "IE Menu Band"
-> {HKLM...CLSID} = "IE Menu Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{6CF48EF8-44CD-45d2-8832-A16EA016311B}" = "IE IShellFolderBand"
-> {HKLM...CLSID} = "IE IShellFolderBand"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{F2CF5485-4E02-4f68-819C-B92DE9277049}" = "&Links"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{1C1EDB47-CE22-4bbb-B608-77B48F83C823}" = "IE Fade Task"
-> {HKLM...CLSID} = "IE Fade Task"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{6B4ECC4F-16D1-4474-94AB-5A763F2A54AE}" = "IE Tracking Shell Menu"
-> {HKLM...CLSID} = "IE Tracking Shell Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{44C76ECD-F7FA-411c-9929-1B77BA77F524}" = "IE Menu Site"
-> {HKLM...CLSID} = "IE Menu Site"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = " mp4sglmf.dll" [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"stera" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> vmhevnet\DLLName = "C:\WINDOWS\system32\vmhevnet.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\*** das bin ich ***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\sstext3d.scr" [MS]


Startup items in "*** das bin ich ***" & "All Users" startup folders:
-----------------------------------------------------------------

C:\Dokumente und Einstellungen\*** das bin ich ***\Startmenü\Programme\Autostart
"wkcalrem" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe" ["Microsoft® Corporation"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Meinen Computer prüfen - *** das bin ich ***" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /task:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{2D9700CB-A777-4DB0-96E1-1EBEBB7D1510}\(Default) = "WebSpeech Reader"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll" ["G DATA Software AG"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{1CE4DE72-7FCC-4EB8-8F66-AE6A56A0A54D}\
"ButtonText" = "WebSpeech"
"MenuText" = "Seite/Markierung vorlesen (WebSpeech)"
"CLSIDExtension" = "{0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C}"
-> {HKLM...CLSID} = "WebSpeechCmd Class"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll" ["G DATA Software AG"]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=h**p://GLOBAL.ACER.COM/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
StarWind iSCSI Service, StarWindService, "C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
Symantec Core LC, Symantec Core LC, "C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i560\Driver = "CNMLM58.DLL" ["CANON INC."]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 45 seconds, including 10 seconds for message boxes)

Alt 25.10.2006, 11:39   #17
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


reg1win.txt hat folgenden Inhalt:

Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 25.10.2006 - 12:04
Wert 0
Name: AppInit_DLLs
Typ: REG_SZ
Daten:

Wert 1
Name: DeviceNotSelectedTimeout
Typ: REG_SZ
Daten: 15

Wert 2
Name: GDIProcessHandleQuota
Typ: REG_DWORD
Daten: 0x2710

Wert 3
Name: Spooler
Typ: REG_SZ
Daten: yes

Wert 4
Name: swapdisk
Typ: REG_SZ
Daten:

Wert 5
Name: TransmissionRetryTimeout
Typ: REG_SZ
Daten: 90

Wert 6
Name: USERProcessHandleQuota
Typ: REG_DWORD
Daten: 0x2710
__________________
Alt 25.10.2006, 11:40   #18
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Hier reg2logon.txt:

Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 25.10.2006 - 12:05

Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:27
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: Ati2evxx.dll

Wert 1
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 3
Name: Lock
Typ: REG_SZ
Daten: AtiLockEvent

Wert 4
Name: Logoff
Typ: REG_SZ
Daten: AtiLogoffEvent

Wert 5
Name: Logon
Typ: REG_SZ
Daten: AtiLogonEvent

Wert 6
Name: Disconnect
Typ: REG_SZ
Daten: AtiDisConnectEvent

Wert 7
Name: Reconnect
Typ: REG_SZ
Daten: AtiReConnectEvent

Wert 8
Name: Safe
Typ: REG_DWORD
Daten: 0x0

Wert 9
Name: Shutdown
Typ: REG_SZ
Daten: AtiShutdownEvent

Wert 10
Name: StartScreenSaver
Typ: REG_SZ
Daten: AtiStartScreenSaverEvent

Wert 11
Name: StartShell
Typ: REG_SZ
Daten: AtiStartShellEvent

Wert 12
Name: Startup
Typ: REG_SZ
Daten: AtiStartupEvent

Wert 13
Name: StopScreenSaver
Typ: REG_SZ
Daten: AtiStopScreenSaverEvent

Wert 14
Name: Unlock
Typ: REG_SZ
Daten: AtiUnLockEvent


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: DllName
Typ: REG_EXPAND_SZ
Daten: crypt32.dll

Wert 3
Name: Logoff
Typ: REG_SZ
Daten: ChainWlxLogoffEvent


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: DllName
Typ: REG_EXPAND_SZ
Daten: cryptnet.dll

Wert 3
Name: Logoff
Typ: REG_SZ
Daten: CryptnetWlxLogoffEvent


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: cscdll.dll

Wert 1
Name: Logon
Typ: REG_SZ
Daten: WinlogonLogonEvent

Wert 2
Name: Logoff
Typ: REG_SZ
Daten: WinlogonLogoffEvent

Wert 3
Name: ScreenSaver
Typ: REG_SZ
Daten: WinlogonScreenSaverEvent

Wert 4
Name: Startup
Typ: REG_SZ
Daten: WinlogonStartupEvent

Wert 5
Name: Shutdown
Typ: REG_SZ
Daten: WinlogonShutdownEvent

Wert 6
Name: StartShell
Typ: REG_SZ
Daten: WinlogonStartShellEvent

Wert 7
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 8
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: wlnotify.dll

Wert 1
Name: Logon
Typ: REG_SZ
Daten: SCardStartCertProp

Wert 2
Name: Logoff
Typ: REG_SZ
Daten: SCardStopCertProp

Wert 3
Name: Lock
Typ: REG_SZ
Daten: SCardSuspendCertProp

Wert 4
Name: Unlock
Typ: REG_SZ
Daten: SCardResumeCertProp

Wert 5
Name: Enabled
Typ: REG_DWORD
Daten: 0x1

Wert 6
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 7
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:30
Wert 0
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: DllName
Typ: REG_EXPAND_SZ
Daten: wlnotify.dll

Wert 2
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 3
Name: StartShell
Typ: REG_SZ
Daten: SchedStartShell

Wert 4
Name: Logoff
Typ: REG_SZ
Daten: SchedEventLogOff


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:31
Wert 0
Name: Logoff
Typ: REG_SZ
Daten: WLEventLogoff

Wert 1
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1

Wert 3
Name: DllName
Typ: REG_EXPAND_SZ
Daten: sclgntfy.dll


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: WlNotify.dll

Wert 1
Name: Lock
Typ: REG_SZ
Daten: SensLockEvent

Wert 2
Name: Logon
Typ: REG_SZ
Daten: SensLogonEvent

Wert 3
Name: Logoff
Typ: REG_SZ
Daten: SensLogoffEvent

Wert 4
Name: Safe
Typ: REG_DWORD
Daten: 0x1

Wert 5
Name: MaxWait
Typ: REG_DWORD
Daten: 0x258

Wert 6
Name: StartScreenSaver
Typ: REG_SZ
Daten: SensStartScreenSaverEvent

Wert 7
Name: StopScreenSaver
Typ: REG_SZ
Daten: SensStopScreenSaverEvent

Wert 8
Name: Startup
Typ: REG_SZ
Daten: SensStartupEvent

Wert 9
Name: Shutdown
Typ: REG_SZ
Daten: SensShutdownEvent

Wert 10
Name: StartShell
Typ: REG_SZ
Daten: SensStartShellEvent

Wert 11
Name: PostShell
Typ: REG_SZ
Daten: SensPostShellEvent

Wert 12
Name: Disconnect
Typ: REG_SZ
Daten: SensDisconnectEvent

Wert 13
Name: Reconnect
Typ: REG_SZ
Daten: SensReconnectEvent

Wert 14
Name: Unlock
Typ: REG_SZ
Daten: SensUnlockEvent

Wert 15
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 16
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:29
Wert 0
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: DllName
Typ: REG_EXPAND_SZ
Daten: wlnotify.dll

Wert 2
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 3
Name: Logoff
Typ: REG_SZ
Daten: TSEventLogoff

Wert 4
Name: Logon
Typ: REG_SZ
Daten: TSEventLogon

Wert 5
Name: PostShell
Typ: REG_SZ
Daten: TSEventPostShell

Wert 6
Name: Shutdown
Typ: REG_SZ
Daten: TSEventShutdown

Wert 7
Name: StartShell
Typ: REG_SZ
Daten: TSEventStartShell

Wert 8
Name: Startup
Typ: REG_SZ
Daten: TSEventStartup

Wert 9
Name: MaxWait
Typ: REG_DWORD
Daten: 0x258

Wert 10
Name: Reconnect
Typ: REG_SZ
Daten: TSEventReconnect

Wert 11
Name: Disconnect
Typ: REG_SZ
Daten: TSEventDisconnect


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 25.10.2006 - 12:05
Wert 0
Name: DllName
Typ: REG_SZ
Daten: C:\WINDOWS\system32\vmhevnet.dll

Wert 1
Name: Startup
Typ: REG_SZ
Daten: WlxStartupEvent

Wert 2
Name: Shutdown
Typ: REG_SZ
Daten: WlxShutdownEvent

Wert 3
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 4
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 08.08.2006 - 08:45
Wert 0
Name: Logon
Typ: REG_SZ
Daten: WLEventLogon

Wert 1
Name: Logoff
Typ: REG_SZ
Daten: WLEventLogoff

Wert 2
Name: Startup
Typ: REG_SZ
Daten: WLEventStartup

Wert 3
Name: Shutdown
Typ: REG_SZ
Daten: WLEventShutdown

Wert 4
Name: StartScreenSaver
Typ: REG_SZ
Daten: WLEventStartScreenSaver

Wert 5
Name: StopScreenSaver
Typ: REG_SZ
Daten: WLEventStopScreenSaver

Wert 6
Name: Lock
Typ: REG_SZ
Daten: WLEventLock

Wert 7
Name: Unlock
Typ: REG_SZ
Daten: WLEventUnlock

Wert 8
Name: StartShell
Typ: REG_SZ
Daten: WLEventStartShell

Wert 9
Name: PostShell
Typ: REG_SZ
Daten: WLEventPostShell

Wert 10
Name: Disconnect
Typ: REG_SZ
Daten: WLEventDisconnect

Wert 11
Name: Reconnect
Typ: REG_SZ
Daten: WLEventReconnect

Wert 12
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 13
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 14
Name: SafeMode
Typ: REG_DWORD
Daten: 0x1

Wert 15
Name: MaxWait
Typ: REG_DWORD
Daten: 0xffffffff

Wert 16
Name: DllName
Typ: REG_EXPAND_SZ
Daten: WgaLogon.dll

Wert 17
Name: Event
Typ: REG_DWORD
Daten: 0x0


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 25.10.2006 - 12:06
Wert 0
Name: Data
Typ: REG_BINARY
Daten:
00000000 01 00 00 00 d0 8c 9d df - 01 15 d1 11 8c 7a 00 c0 ....Ð..ß..Ñ..z.À
00000010 4f c2 97 eb 01 00 00 00 - 33 95 03 02 08 ae 08 47 OÂ.ë....3....®.G
00000020 8d 64 c0 a1 5c 3a 5d fb - 04 00 00 00 04 00 00 00 .dÀ¡\:]û........
00000030 53 00 00 00 03 66 00 00 - a8 00 00 00 10 00 00 00 S....f..¨.......
00000040 82 36 9e c8 6e 0c ab 18 - ac b1 70 8c fd 31 72 62 .6.Èn.«.¬±p.ý1rb
00000050 00 00 00 00 04 80 00 00 - a0 00 00 00 10 00 00 00 ........*.......
00000060 30 45 1f c4 5c 57 b8 70 - af 66 7d 74 fe 27 35 57 0E.Ä\W¸p¯f}tþ'5W
00000070 b0 01 00 00 09 fb 49 ab - 6d 40 18 fe 19 c5 7c a2 °... ûI«m@.þ.Å|¢
00000080 7d 42 e9 63 2e e6 1a 52 - c3 e2 71 ac e4 6a fc 76 }Béc.æ.RÃâq¬äjüv
00000090 4d df e3 48 87 d7 d9 c5 - 23 d9 1b a7 ad 3b c1 fc MßãH.×ÙÅ#Ù.§*;Áü
000000a0 97 4a 49 fb 96 96 39 9d - e6 84 fe 51 8b 02 77 7d .JIû..9.æ.þQ..w}
000000b0 d5 d9 3c 2c 45 9d 9e ff - 2e 6b 87 cc d3 38 18 d5 ÕÙ<,E..ÿ.k.ÌÓ8.Õ
000000c0 f1 b8 0a 1b 4e 8a 7c be - 64 f9 cb 04 1a 71 42 8c ñ¸..N.|¾dùË..qB.
000000d0 d4 a6 40 65 01 e0 89 2c - 6c 8a 35 3f a3 0f 82 0d Ô¦@e.à.,l.5?£...
000000e0 3b 6c eb f2 29 5c 35 24 - 54 e2 da 20 5f b9 44 50 ;lëò)\5$TâÚ _¹DP
000000f0 ec a2 6c 22 a8 5a a7 3c - 40 98 99 1c ed 3e ad f4 ì¢l"¨Z§<@...í>*ô
00000100 67 52 50 ec 19 1d e1 25 - 4f 53 75 52 a7 42 13 58 gRPì..á%OSuR§B.X
00000110 54 5c 41 a4 4b 22 cd 5d - 71 28 68 89 ca 23 55 16 T\A¤K"Í]q(h.Ê#U.
00000120 17 8f 70 ca cc d0 34 38 - 74 0a d8 4e e9 a4 da d1 ..pÊÌÐ48t.ØNé¤ÚÑ
00000130 e4 cc b2 56 2c b5 1e e4 - a1 73 cb 1a 1e a7 48 46 ä̲V,µ.ä¡sË..§HF
00000140 0e d8 45 13 a2 40 67 05 - 4e 8a 86 59 80 15 bf 69 .ØE.¢@g.N..Y..¿i
00000150 23 91 83 35 ec d7 07 f6 - 88 cf 32 f1 2c 81 be 39 #..5ì×.ö.Ï2ñ,.¾9
00000160 00 43 47 41 9d 63 cf 4f - a0 2a 94 ce 88 b4 84 30 .CGA.cÏO**.Î.´.0
00000170 dd 5b 0f 1e b3 bc 53 33 - 56 16 11 93 a5 35 eb 71 Ý[..³¼S3V...¥5ëq
00000180 db d6 a1 99 64 f6 57 87 - 37 d5 93 14 c7 2a 43 27 ÛÖ¡.döW.7Õ..Ç*C'
00000190 20 2f 33 13 54 27 47 17 - 1d 00 b2 9a db 5e d9 f0 /3.T'G...².Û^Ùð
000001a0 58 b6 c8 60 b7 d4 b0 c9 - 90 bf 46 97 c7 42 42 2d X¶È`·Ô°É.¿F.ÇBB-
000001b0 4d d2 cd 06 1c 84 cf 72 - 55 f6 8a 6f a9 65 a6 94 MÒÍ...ÏrUö.o©e¦.
000001c0 8c c0 3b 9a bd 34 48 70 - 82 c9 19 aa f8 88 8d 62 .À;.½4Hp.É.ªø..b
000001d0 83 fe 29 a2 65 55 8f 8b - ad 24 f1 81 98 4a cd 65 .þ)¢eU..*$ñ..JÍe
000001e0 92 72 2e ed 67 7d 82 ab - e0 6d cd 69 58 ee 94 fa .r.íg}.«àmÍiXî.ú
000001f0 e1 71 5f 10 40 9a d1 f0 - fa 22 ef 82 c4 e2 72 ce áq_.@.Ñðú"ï.ÄârÎ
00000200 a6 70 65 36 60 ea 0e 92 - a5 56 dc d1 cb 6c df 67 ¦pe6`ê..¥VÜÑËlßg
00000210 8b 03 0f 65 11 20 7e 32 - 21 0e 84 f0 1d a4 d5 cf ...e. ~2!..ð.¤ÕÏ
00000220 48 77 7b 3f 14 00 00 00 - a7 90 ed 8b c4 8f 48 3b Hw{?....§.í.Ä.H;
00000230 d8 28 29 0c d9 35 05 7b - de 4d a5 f9 Ø().Ù5.{ÞM¥ù


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: wlnotify.dll

Wert 1
Name: Logon
Typ: REG_SZ
Daten: RegisterTicketExpiredNotificationEvent

Wert 2
Name: Logoff
Typ: REG_SZ
Daten: UnregisterTicketExpiredNotificationEvent

Wert 3
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 4
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1
__________________
Alt 25.10.2006, 11:41   #19
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Von Blacklight habe ich kein Scanprotokoll zusammengebracht. Ich habe nur ein Screenshot geschossen, was ich Euch aber ersparen kann. Alles durchsucht - 0 Items found.

Alt 25.10.2006, 11:42   #20
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


... und hier noch die Meuterei auf der Boonty - ein Sturm im Wasserglas:

File "Boonty.exe" received on 10.25.2006 at 12:14:41 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 7.2.0.32 10.25.2006 no virus found
Authentium 4.93.8 10.25.2006 no virus found
Avast 4.7.892.0 10.24.2006 no virus found
AVG 386 10.25.2006 no virus found
BitDefender 7.2 10.25.2006 no virus found
CAT-QuickHeal 8.00 10.23.2006 no virus found
ClamAV devel-20060426 10.25.2006 no virus found
DrWeb 4.33 10.25.2006 no virus found
eTrust-InoculateIT 23.73.36 10.25.2006 no virus found
eTrust-Vet 30.3.3156 10.25.2006 no virus found
Ewido 4.0 10.25.2006 no virus found
Fortinet 2.82.0.0 10.25.2006 no virus found
F-Prot 3.16f 10.25.2006 no virus found
F-Prot4 4.2.1.29 10.25.2006 no virus found
Ikarus 0.2.65.0 10.24.2006 no virus found
Kaspersky 4.0.2.24 10.25.2006 no virus found
McAfee 4880 10.24.2006 no virus found
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1832 10.25.2006 no virus found
Norman 5.80.02 10.24.2006 no virus found
Panda 9.0.0.4 10.24.2006 no virus found
Sophos 4.10.0 10.24.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 no virus found

Aditional Information
File size: 69120 bytes
MD5: 78478ed94ee283aeadc1db3332234e00
SHA1: 99ac3d669ab1b0eca10486bad213852c7c403932


Alt 25.10.2006, 19:43   #21
ordell1234
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


O.k., neuer Versuch. Fixe
Zitat:
O20 - AppInit_DLLs: mp4sglmf.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll
- noch kein Neustart - und folge dieser Anleitung, lade dir den Avanger und füge das erste script ein. Wenn du keine Probleme mit deinen Updates hast, muß dich der untere Teil der Anleitung nicht interessieren. Poste nach dem Neustart das log von avanger (edit: sehe gerade, dass das log recht umfangreich ist, poste bitte nur die Funde und erfolgreich gelöschten keys) und ein neues HJT-log. Gruß

edit: füge dem script noch folgende Einträge hinzu:
%windir%\system32\e1.dll
%windir%\system32\p2psmsih.dll
%windir%\system32\mstle100.dll
%windir%\system32\fsusvcde.exe

sollte auch diese Aktion erfolglos bleiben, poste bitte auch die logs der datfind.bat, bitte nur die Einträge der letzten 3 Monate
Geändert von ordell1234 (25.10.2006 um 20:32 Uhr)

Alt 26.10.2006, 08:16   #22
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Danke - bin dabei. Erstes Resultat: Das Fixen unter HJT bringt folgende Fehlermeldung (vermute, damit fängt das Problem schon an):

An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: mp4sglmf.dll)
Error #5 - Ungültiger Prozeduraufruf oder ungültiges Argument

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.

Alt 26.10.2006, 09:03   #23
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


ok, jetzt sieht es gut aus, finde ich. Hier die Aktionen des Avenger:

File C:\WINDOWS\hv4e05.dll deleted successfully.
File C:\WINDOWS\msupdtwiz.exe deleted successfully.
File C:\WINDOWS\msupdtwiz.z deleted successfully.
File C:\WINDOWS\msupdtwiz.dat deleted successfully.
File C:\WINDOWS\attcfg.tmp deleted successfully.
File C:\WINDOWS\concfg.tmp deleted successfully.
File C:\WINDOWS\egadata.tmp deleted successfully.
File C:\WINDOWS\jw9ucgel.scf deleted successfully.
File C:\WINDOWS\sc.xml1 deleted successfully.
File C:\WINDOWS\system32\ipxpextm.exe deleted successfully.
File C:\WINDOWS\system32\mp4sglmf.dll deleted successfully.
File C:\WINDOWS\system32\vmhevnet.dll deleted successfully.
File C:\WINDOWS\system32\vmhevnet.exe deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Alt 26.10.2006, 09:06   #24
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


... und hier das neue HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:01:39, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://GLOBAL.ACER.COM/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - h**p://w*w.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - h**p://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143979586031
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Alt 26.10.2006, 09:07   #25
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


... melde mich wieder, wenn der neue Kaspersky-Online-Scan durch ist.

Alt 26.10.2006, 11:23   #26
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Kaspersky fand noch einen, den Norton schon in Quarantäne genommen hat. Den hab' ich einfach mal gelöscht und CC-gecleant.

Ob jetzt alles in Ordnung ist?

C:\Programme\Norton AntiVirus\Quarantine\4F017A02.dll Infected: Email-Worm.Win32.Warezov.da skipped

Alt 26.10.2006, 11:28   #27
Rene-gad
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Zitat:
Zitat von Labbeduddel
C:\Programme\Norton AntiVirus\Quarantine\4F017A02.dll Infected: Email-Worm.Win32.Warezov.da skipped
Das bedeutet nur das, dass Norton irgendwann den Schädling erkannt, unschädlich gemacht und in seine Quarantäne verschoben hat. Wenn keine Funde mehr gibt's kannst du IMHO den Thread schließen .

Alt 26.10.2006, 13:38   #28
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Nach dem Löschen, 'runter- und wieder hochfahren ist schon wieder einer da:

C:\Programme\Norton AntiVirus\Quarantine\70EB39D4.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen

Dazu fällt mir ein:

1. Norton passt auf, vielleicht passiert ja wirklich nichts mehr.

2. Warezov ist weiter aktiv. Ist er das auf meinem Rechner, oder kommt er womöglich über ICQ dauernd wieder neu 'rein?

Grüße vom Labbeduddel

Alt 26.10.2006, 14:55   #29
ordell1234
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Bei dem Fund
Zitat:
File C:\WINDOWS\hv4e05.dll deleted successfully.
File C:\WINDOWS\msupdtwiz.exe deleted successfully.
File C:\WINDOWS\msupdtwiz.z deleted successfully.
File C:\WINDOWS\msupdtwiz.dat deleted successfully.
File C:\WINDOWS\attcfg.tmp deleted successfully.
File C:\WINDOWS\concfg.tmp deleted successfully.
File C:\WINDOWS\egadata.tmp deleted successfully.
File C:\WINDOWS\jw9ucgel.scf deleted successfully.
File C:\WINDOWS\sc.xml1 deleted successfully.
File C:\WINDOWS\system32\ipxpextm.exe deleted successfully.
File C:\WINDOWS\system32\mp4sglmf.dll deleted successfully.
File C:\WINDOWS\system32\vmhevnet.dll deleted successfully.
File C:\WINDOWS\system32\vmhevnet.exe deleted successfully.
setze ich mein System neu auf. It's up to you. Weder muß das script für Avanger vollständig gewesen sein (wird es auch nicht), noch sind AV-scans das Gelbe vom Ei. Sieht so aus, als rollt gerade eine neue Welle Warezov-Varianten an. Dass nicht alles beseitigt wurde, kann also sehr gut sein, das schließt eine Neuinfektion natürlich nicht aus. Wie sicher/unsicher icq ist, kann ich dir nicht sagen, da ich den Dienst nicht nutze. Würde mich aber wundern, wenn hier kein Mitdenken gefragt ist.

Alt 26.10.2006, 15:32   #30
Labbeduddel
 
System beschäftigt sich selbst - Standard

System beschäftigt sich selbst


Das bringt mich zu einer sehr ernsthaften Frage.

Ich fühle mich auch deshalb relativ locker bezüglich der Viren, weil ich bei mehreren Verseuchungen noch keinen ernsthaften Schaden erlitten habe. Nix ging dauerhaft kaputt, Bankkonto nicht geplündert et cetera.

Und was der Warezov wirklich an Schaden anrichtet (oder anrichten kann) ist mir auch nicht klar geworden. Ich lese immer nur, dass er sich von selbst verbreitet - ok. Und dann?

Also verzeiht meine Unbedarftheit. Ich will keine Viren, deshalb hab' ich einen Scanner und bin hier im Forum und überhaupt recht aufmerksam.

Muss ich mir ernstere Sorgen machen?

Grüße vom Labbeduddel

Antwort
Seite 2 von 3 1 2 3

Themen zu System beschäftigt sich selbst
adobe, antivirus, appinit_dlls, bho, cyberlink, dateien, direkt nach dem start, downloader, drivers, explorer, file, firewall, helper, hijackthis, hotkey, internet, internet explorer, microsoft, monitor, nvidia, object, pdf, photoshop, programme, settings manager, software, symantec, system, windows, windows xp


« Unbekannter Prozess! | ich habe ein paar trojanische Pferde und Dialer in meinem Sytem. was ist zu tun? »


Ähnliche Themen: System beschäftigt sich selbst


  1. Windows 8 : Goodgame Empire hat sich selbst installiert, lässt sich nicht löschen
    Log-Analyse und Auswertung - 27.01.2015 (1)
  2. l+f: Microsoft beschäftigt Einbrecher ...
    Nachrichten - 14.11.2014 (0)
  3. System speedup und Advanced System Protection installieren sich nach dem deinstallieren von selbst
    Log-Analyse und Auswertung - 04.07.2014 (15)
  4. Win7/32bit - Laptop hängt sich andauernd auf, fremde Seiten öffnen sich von selbst
    Log-Analyse und Auswertung - 23.06.2014 (7)
  5. Tastatur macht sich selbstständig und pc schaltet sich von selbst auf standby
    Plagegeister aller Art und deren Bekämpfung - 13.05.2014 (5)
  6. Firefox: Yahoo community smartbar hat sich selbst installiert und ließ sich schlecht entfernen
    Log-Analyse und Auswertung - 21.02.2014 (11)
  7. Smart-TVs, Tracking-Problematik..kann man das umgehen, wer hat sich damit schon beschäftigt?
    Diskussionsforum - 07.02.2014 (0)
  8. Windows 7, Advanced System Protector hat sich selbst installiert, LogFiles nach Anleitung erstellt
    Log-Analyse und Auswertung - 29.11.2013 (13)
  9. Ständig öffnen sich Internetfenster ohne das ich etwas anwähle und schließen sich von selbst wieder
    Plagegeister aller Art und deren Bekämpfung - 14.06.2013 (36)
  10. System Care Antivirus eingefangen, erstellt sich immer selbst neu
    Plagegeister aller Art und deren Bekämpfung - 31.05.2013 (15)
  11. System blockiert durch GVU-Trojaner, Windows 7, schon viel selbst versucht
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (6)
  12. Virus erneuert sich selbst und Firewall lässt sich nicht aktivieren. Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 09.11.2012 (11)
  13. DVD Laufwerk öffnet sich von selbst und lässt sich nicht mehr schließen
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (1)
  14. FLV direct Player installiert sich von selbst, Maus lässt sich nicht steuern
    Plagegeister aller Art und deren Bekämpfung - 30.07.2010 (5)
  15. System (Vista) setze sich beim Hochfahren (fast) selbst neu auf
    Plagegeister aller Art und deren Bekämpfung - 18.03.2010 (3)
  16. Backdoor Virus öffnet selbst seiten im IE, und verschickt sich selbst über MSN
    Log-Analyse und Auswertung - 22.07.2009 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema System beschäftigt sich selbst - Hier der Stille Läufer: (Hierbei soll ich Dich schön von Peter Norton grüßen, der den Silentrunner für ein ganz und gar bösartiges Programm hält - ich hab' ihn beruhigt, d.h. - System beschäftigt sich selbst...
Archiv
Du betrachtest: System beschäftigt sich selbst auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55