Für neue Benutzer/Hilfesuchende!!!

**Sunny** · 20.04.2007, 22:36

Hallo Boardleitung,

anbei habe ich eine kurze Anleitung erstellt, welche jeder neue User/Hilfesuchender abarbeitet, bevor er sein Problem beschreibt!
Das spart uns Regulars und ONU ebenfalls viel Arbeit und Zeit.
Denn bei fast jedem Problem hier im Board sind Scanvorgänge mit diversen Tools von uns an der Tagesordnung, also, warum soll ONU zu seiner Problembeschreibung nicht gleich diese Tools bzw. die Auswertung mit einbringen?!

Vor allem weil die meisten sowieso ein Hijacklog posten, ich aber in letzter Zeit nicht mehr viel davon halte da HijackThis ziemlich unglaubwürdig geworden ist.

das ganze kurz und knapp:

---------------------------------------------------------------------------

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Navigiere nun zum Ordner %Systemdrive%:\Programme\HiJackThis' suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab (Strg+A markieren -> Strg+C kopieren) und füge es in deinen Beitrag im Forum mit ein

Zitat:

Zitat von Achtung!

Bitte durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

--------------------------------------------------------------------------------------------------------

Besteht die Möglichkeit diese 3-Schritte mit in die "Goldenen Regeln" aufzunehmen, sodass jeder User welcher sich zum ersten mal registriert dieses abarbeitet?

Es sollte aber nicht als 8.Regel erscheinen, sondern irgendwie mit in die Start bzw. Registrierungssequenz eingebaut werden.
(da die Regeln ja ohnehin sehr selten gelesen werden!)

Gruß
Daniel

MightyMarc · 21.04.2007, 13:38

Zitat:

Zitat von [Gc]Sunny

-Hier gibt es das Tool -> HijackThis
-Navigiere nun zum Ordner %Systemdrive%:\Programme\HiJackThis' suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file

%Systemdrive%:\Programme\HiJackThis
Wenn dann ohne Doppelpunkt. %ProgramFiles% wäre hier wohl aber die richtige Variable. Bleibt aber die Frage, ob ONU etwas mit %systemdrive% oder %programfiles% anfangen kann.

Alternative Variante für Klickfreunde:

1. HJT runterladen
2. Entpacken
3. HJT.bat runterladen und doppelklicken
4. Do a system scan and save a log file klicken.
5. Text kopieren und hier im Forum posten.

HJT.bat

Zitat:

@echo off
cd %programfiles%
mkdir Hijackthis
dir /s /b %systemdrive%\hijackthis.exe > %TEMP%\HJT_Path.txt
set /P FILE=<%TEMP%\HJT_Path.txt
copy "%FILE%" "%ProgramFiles%\Hijackthis\tb_hjt.exe"
echo @echo off > "%userprofile%\Desktop\Hijackthis.bat"
echo "%programfiles%\Hijackthis\tb_hjt.exe" >> "%userprofile%\Desktop\Hijackthis.bat"
call "%userprofile%\Desktop\Hijackthis.bat"
exit

**Sunny** · 21.04.2007, 14:20

Zitat:

Alternative Variante für Klickfreunde:

Funktioniert auch...

Frage ist aber ob alle Programme, welche ich aufgeführt habe, für einen "Ersteindruck" von einem infizierten System reichen?

HijackThis ist meiner Ansicht nach nicht mehr zuverlässig was schädliche Einträge angeht, daher auch auf jeden Fall Silentrunners. Und eScan sowieso!

Hat jemand noch Ideen oder Vorschläge einzubringen?

Sunny

KarlKarl · 21.04.2007, 19:18

AutoRuns

Das Log ist nicht gerade besonders übersichtlich, dafür aber sehr umfangreich was die möglichen Startpositionen angeht. Dazu ermöglicht das Programm auch gleich die Deaktivierung und/oder Löschung von Einträgen.

Außerdem kann das Programm bei den Dateien auch die digitalen Signaturen überprüfen, ein großer Vorteil, da es immer häufiger vorkommt, daß gute Dateien ersetzt werden. Die in Windows eingebaute Signaturüberprüfung kann von der Malware ebenfalls gepatcht worden sein, so wie auch die Systemdateiwiederherstellung. Leider gibt es auch unter den Großen der Softwarebranche immer noch eine Menge, die es nicht für nötig halten, ihre Dateien zu signieren, selbst Microsoft hat noch unsignierte Dateien im Angebot.

zur hjt.bat:

Bei Usern, die ihre Downloads auf einer anderen Partition speichern, wird das nicht funktionieren. Die hjt.bat von dort gestartet wird nicht in %programfiles% wechseln können und hijackthis.exe wird auch nur gefunden, wenn es auf der Systempartition liegt. Der Hinweis, die Dateien auf der Systempartition zu speichern, ist sinnvoll, denn alle möglichen Konstellationen in einer Batchdatei zu berücksichtigen, dürfte schwierig sein. Man könnte die Suche nach einer hijackthis.exe natürlich über alle Laufwerke von C: bis Z: laufen lassen. Ich hab mal (ungetestet) zwei Zeilen eingefügt. Die eine wechselt zu Anfang auf das Systemlaufwerk, die andere prüft, ob hijackthis.exe gefunden wurde, falls nicht beendet sie. Ach ja: Systeme vor Windows 2000 sind außen vor, finde ich nicht schlimm, aber vielleicht sollte man die zu Anfang noch aussortieren, ansonsten schaffen die Fehlermeldung wohl noch mehr Verwirrung.

Code:

ATTFilter

@echo off
%systemdrive%
cd %programfiles%
mkdir Hijackthis
dir /s /b %systemdrive%\hijackthis.exe > %TEMP%\HJT_Path.txt
set /P FILE=<%TEMP%\HJT_Path.txt
if "%FILE%" == "" exit
copy "%FILE%" "%ProgramFiles%\Hijackthis\tb_hjt.exe"
echo @echo off > "%userprofile%\Desktop\Hijackthis.bat"
echo "%programfiles%\Hijackthis\tb_hjt.exe" >> "%userprofile%\Desktop\Hijackthis.bat"
call "%userprofile%\Desktop\Hijackthis.bat"
exit

MightyMarc · 21.04.2007, 20:26

Blacklight für Freunde des zappelnden Zeigefingers

1. Blacklight runterladen und irgendwo auf der Systempartition speichern
2. fsbl.bat herunterladen, irgendwo auf der Systempartition speichern und durch Doppelklick starten
3. Inhalt des sich öffnenden Fensters kopieren und hier posten.

Zitat:

fsbl.bat - Nur ein Entwurf!
@echo off
mkdir "%programfiles%\FS-Blacklight"
if %errorlevel% equ 1 goto end
dir /s /b %systemdrive%\fsblc.exe > "%ProgramFiles%\FS-Blacklight\FSPATH.txt"
set /P FSPATH=<"%ProgramFiles%\FS-Blacklight\FSPATH.txt"
move "%FSPATH%" "%ProgramFiles%\FS-Blacklight\tb_fsblc.exe"
set BATWRITE=^>^> "%userprofile%\Desktop\Blacklight.bat"
echo @echo off > "%userprofile%\Desktop\Blacklight.bat"
echo dir "%%ProgramFiles%%\FS-Blacklight\fsbl-*"
echo if %%errorelevel%% equ 0 ren "%%programfiles%%\fs-blacklight\fsbl-*.log" *.old
echo cd %%ProgramFiles%% %BATWRITE%
echo cd FS-Blacklight %BATWRITE%
echo tb_fsblc.exe --accept-eula %BATWRITE%
echo dir /s /b "%%ProgramFiles%%\FS-Blacklight\fsbl-*.log" ^> "%%ProgramFiles%%\FS-Blacklight\loglist.txt" %BATWRITE%
echo set /P LOGPATH=^<"%%ProgramFiles%%\FS-Blacklight\loglist.txt" %BATWRITE%
echo notepad "%%LOGPATH%%" %BATWRITE%
echo del "%%ProgramFiles%%\FS-Blacklight\loglist.txt" %BATWRITE%
call "%userprofile%\Desktop\Blacklight.bat"
del "%ProgramFiles%\FS-Blacklight\FSPATH.txt"
exit
:end
echo Sie finden auf dem Desktop die Datei
echo Blacklight.bat mit der Sie Blacklight starten koennen.
pause
exit

GUA · 22.04.2007, 08:54

Zitat:

Zitat von Sunny

Besteht die Möglichkeit diese 3-Schritte mit in die "Goldenen Regeln" aufzunehmen, sodass jeder User welcher sich zum ersten mal registriert dieses abarbeitet?

wir möchten zur zeit keine weiteren schritte oder anweisungen in die goldenen regeln bzw. in den registrierungsprozess aufnehmen

die idee mit den anleitungen selbst finden wir gut

sobald diese in einer endgültigen fassung fertig sind, stellen wir sie natürlich gerne in das forum "anleitungen, faqs & links"

eine kurz gehaltene erklärung für den hilfesuchenden, was man an dem ergebnis der einzelnen programme ablesen kann würde das paket noch abrunden
beispiel:

Zitat:

Bitte alle ... Tools ausführen, ... erforschen verschiedene automatisch startende Dateien, während EScan als Viren und Trojaner-Scanner unerlässlich ist...

GUA

MightyMarc · 08.05.2007, 14:43

Eine Batchdatei, die pslist, psinfo (beide pstools) und autorunsc in einen Ordner kopiert und anhand des Outputs so ne Art Placebo-HJT-Log erstellt. Keine Ahnung, ob das Sinn macht. Ich spiel halt grad gerne mit Batchdateien

Hier mal exemplarisch der Output, wenn ich die Batchdatei bei mir Laufen lassen:

Zitat:

Systeminformationen

***Betriebssystem

Kernel version: Microsoft Windows XP, Uniprocessor Free
Product type: Professional
Product version: 5.1
Kernel build number: 2600
Service pack: 2
IE version: 7.0000

***Hardware

Processor type: AMD Athlon(tm) XP 3000+
Processor speed: 2.0 GHz
Physical memory: 1024 MB
Video driver: ASUS RADEON A9600XT

Prozessinformationen

Code:

ATTFilter

 
Process information for MIGHTY:

Name                             Pid Pri Thd  Hnd      VM      WS    Priv
Idle                               0   0   1    0       0      16       0
  System                           4   8  73  461    1876     232       0
    smss                         668  11   3   20    3800     392     164
      csrss                      756  13  11  374   25108     860    1652
      winlogon                   780  13  26  543   56396    1992    8728
        ati2evxx                 556   8   3   46   18116    2148     480
        services                 824   9  15  276   37280    4220    2236
          avguard                584   8  24   87   81460    5476   55068
          svchost                748   8   5  125   36728    4204    3320
          ati2evxx               992   8   4   53   18836    2232     500
          svchost               1004   8  17  204   62372    5064    4268
          svchost               1080   8  10  200   34568    3700    2512
          svchost               1112   8  49 1137  125032   22440   14128
            wscntfy             2016   8   1   37   28464    2364    1316
          spoolsv               1216   8  11  137   44152    5160    4560
          svchost               1376   8   4  103   33660    3420    2012
          oodag                 1456   8   7  115   37764    4908    2936
          wdfmgr                1540   8   4   64   14860    1772    1612
        lsass                    836   9  14  297   37504    1028    2512
explorer                         652   8  12  427   90116   20880   15828
  explorer                       320  13  10  380   90004   10800   13316
  iexplore                       328   8  18 1449  175132   34616   44136
  avgnt                         1428   8   3  105   39500     836    2740
  PSPad                         1636   8   2  136   54404   12052   10532
  ctfmon                        1712   8   1  118   38752    3728    1488
  Launchy                       1740   8   2   61   40696    6288    3388
  cmd                           4044   8   1   31   33716    1344    3616
    pslist                      1972  13   2   92   28588    2428     996

Autoruns

Hiding verified Microsoft entries

***Boot execute

Entry: OOBCPRO
Descr.: "O&O BlueCon XXL V5.0 Build 174"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\oobcpro.exe"

Entry: OODBS
Descr.: "O&O BootTimeDefrag"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\oodbs.exe"

***Appinit DLLs

***Explorer Addons

Entry: application/octet-stream
Descr.: "Microsoft .NET Runtime Execution Engine"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscoree.dll"

Entry: application/x-complus
Descr.: "Microsoft .NET Runtime Execution Engine"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscoree.dll"

Entry: application/x-msdownload
Descr.: "Microsoft .NET Runtime Execution Engine"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscoree.dll"

Entry: ms-help
Descr.: "Microsoft® Help Data Services Module"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\program files\common files\microsoft shared\help\hxds.dll"

Entry: skype4com
Descr.: "Skype for COM API"
Publisher: "(Verified) Skype Technologies SA"
Image Path: "c:\program files\common files\skype\skype4com.dll"

Entry: n/a
Descr.: "Microsoft .NET IE SECURITY REGISTRATION"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscories.dll"

Entry: Fusion Cache
Descr.: "Microsoft .NET Runtime Execution Engine"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscoree.dll"

Entry: ShellLink for Application References
Descr.: "Application Deployment Support Library"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\dfshim.dll"

Entry: Shell Icon Handler for Application References
Descr.: "Application Deployment Support Library"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\dfshim.dll"

Entry: Shell Extension for Malware scanning
Descr.: "ShlExt.dll"
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\shlext.dll"

Entry: OpenOffice.org Column Handler
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: OpenOffice.org Infotip Handler
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: OpenOffice.org Property Sheet Handler
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: OpenOffice.org Thumbnail Viewer
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: iTunes
Descr.: "iTunes Mini Player DLL"
Publisher: "(Verified) Apple Computer Inc."
Image Path: "c:\program files\itunes\itunesminiplayer.dll"

Entry: {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: PDF Shell Extension
Descr.: "PDF Shell Extension"
Publisher: "(Not verified) Adobe Systems Inc."
Image Path: "c:\program files\adobe\acrobat 7.0\activex\pdfshell.dll"

***Internet Explorer Addons

***Logon Startups

Entry: Samsung Common SM
Descr.: "Samsung Status Monitor Manager"
Publisher: "(Not verified) Samsung Electronics."
Image Path: "c:\windows\samsung\comsmmgr\ssmmgr.exe"

Entry: avgnt
Descr.: "Antivirus System Tray Tool"
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\avgnt.exe"

Entry: Launchy.lnk
Descr.: "Launchy"
Publisher: "(Not verified) Code Jelly"
Image Path: "c:\program files\launchy\launchy.exe"

Entry: QuickTime Task
Descr.: "QuickTime Task"
Publisher: "(Not verified) Apple Computer Inc."
Image Path: "c:\program files\quicktime alternative\qttask.exe"

***Winsock Protocoll and Network Providers

***LSA Security Providers

***Autostart Services and non-disabled drivers

Entry: AntiVirScheduler
Descr.: "Dienst zur Steuerung von AntiVir Prüfaufträgen und Updates."
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\sched.exe"

Entry: AntiVirService
Descr.: "Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine."
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\avguard.exe"

Entry: O&O Defrag
Descr.: "O&O Defragmentation Service"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\oodag.exe"

Entry: avgio
Descr.: "Avira AntiVir Support for Minifilter"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\avgio.sys"

Entry: avipbb
Descr.: "%avipbbServiceDesc%"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\windows\system32\drivers\avipbb.sys"

Entry: d347bus
Descr.: "PnP BIOS Extension"
Publisher: "(Not verified) "
Image Path: "c:\windows\system32\drivers\d347bus.sys"

Entry: d347prt
Descr.: "SCSI miniport"
Publisher: "(Not verified) "
Image Path: "c:\windows\system32\drivers\d347prt.sys"

Entry: EIO
Descr.: "ASUS Kernel Mode Driver for NT "
Publisher: "(Not verified) ASUSTeK Computer Inc."
Image Path: "c:\windows\system32\drivers\eio.sys"

Entry: GEARAspiWDM
Descr.: "CD/DVD Class Filter Driver"
Publisher: "(Verified) GEAR Software Inc."
Image Path: "c:\windows\system32\drivers\gearaspiwdm.sys"

Entry: gmer
Descr.: "GMER Driver http://www.gmer.net"
Publisher: "(Not verified) GMER"
Image Path: "c:\windows\system32\drivers\gmer.sys"

Entry: PxHelp20
Descr.: "Px Engine Device Driver for Windows 2000/XP"
Publisher: "(Not verified) Sonic Solutions"
Image Path: "c:\windows\system32\drivers\pxhelp20.sys"

Entry: ssmdrv
Descr.: "Avira Snapshot Driver"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\windows\system32\drivers\ssmdrv.sys"

Entry: StMp3Rec
Descr.: "Treiber fr den Wiederherstellungsmodus"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\drivers\stmp3rec.sys"

Entry: OOTextMode
Descr.: "O&O TextMode Driver"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\drivers\oobctm.sys"

Entry: DgiVecp
Descr.: "Windows NT 4.0 IEEE-1284 parallel class driver for ECP
Publisher: Byte and Nibble modes"
Image Path: "(Not verified) DeviceGuys

Entry: pfc
Descr.: "Padus(R) ASPI Shell"
Publisher: "(Not verified) Padus Inc."
Image Path: "c:\windows\system32\drivers\pfc.sys"

Entry: VMnetAdapter
Descr.: "Driver for VMware's Virtual Ethernet Adapters Ver. 2"
Publisher: "(Not verified) VMware Inc."
Image Path: "c:\windows\system32\drivers\vmnetadapter.sys"

***Scheduled Tasks

***Winlogon Entries

Entry: AntiVirScheduler
Descr.: "Dienst zur Steuerung von AntiVir Prüfaufträgen und Updates."
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\sched.exe"

Entry: AntiVirService
Descr.: "Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine."
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\avguard.exe"

Entry: O&O Defrag
Descr.: "O&O Defragmentation Service"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\oodag.exe"

Entry: avgio
Descr.: "Avira AntiVir Support for Minifilter"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\avgio.sys"

Entry: avipbb
Descr.: "%avipbbServiceDesc%"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\windows\system32\drivers\avipbb.sys"

Entry: d347bus
Descr.: "PnP BIOS Extension"
Publisher: "(Not verified) "
Image Path: "c:\windows\system32\drivers\d347bus.sys"

Entry: d347prt
Descr.: "SCSI miniport"
Publisher: "(Not verified) "
Image Path: "c:\windows\system32\drivers\d347prt.sys"

Entry: EIO
Descr.: "ASUS Kernel Mode Driver for NT "
Publisher: "(Not verified) ASUSTeK Computer Inc."
Image Path: "c:\windows\system32\drivers\eio.sys"

Entry: GEARAspiWDM
Descr.: "CD/DVD Class Filter Driver"
Publisher: "(Verified) GEAR Software Inc."
Image Path: "c:\windows\system32\drivers\gearaspiwdm.sys"

Entry: gmer
Descr.: "GMER Driver http://www.gmer.net"
Publisher: "(Not verified) GMER"
Image Path: "c:\windows\system32\drivers\gmer.sys"

Entry: PxHelp20
Descr.: "Px Engine Device Driver for Windows 2000/XP"
Publisher: "(Not verified) Sonic Solutions"
Image Path: "c:\windows\system32\drivers\pxhelp20.sys"

Entry: ssmdrv
Descr.: "Avira Snapshot Driver"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\windows\system32\drivers\ssmdrv.sys"

Entry: StMp3Rec
Descr.: "Treiber fr den Wiederherstellungsmodus"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\drivers\stmp3rec.sys"

Entry: OOTextMode
Descr.: "O&O TextMode Driver"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\drivers\oobctm.sys"

Entry: DgiVecp
Descr.: "Windows NT 4.0 IEEE-1284 parallel class driver for ECP
Publisher: Byte and Nibble modes"
Image Path: "(Not verified) DeviceGuys

Entry: pfc
Descr.: "Padus(R) ASPI Shell"
Publisher: "(Not verified) Padus Inc."
Image Path: "c:\windows\system32\drivers\pfc.sys"

Entry: VMnetAdapter
Descr.: "Driver for VMware's Virtual Ethernet Adapters Ver. 2"
Publisher: "(Not verified) VMware Inc."
Image Path: "c:\windows\system32\drivers\vmnetadapter.sys"

MightyMarc · 08.05.2007, 15:49

60 Minuten Timeout

Falls jemand das mal testen möchte:

1. http://download.sysinternals.com/Files/Autoruns.zip und http://download.sysinternals.com/Files/PsTools.zip runterladen, auf der Systempartion speichern und dort entpacken.

2. ps.bat runterladen, auf Systempartition speichern und per Doppelklick starten.

Mal schauen, ob das funktioniert.

Edit:
Oops, habe vergessen, eine OS-Prüfung zu integrieren. Also mit XP funktioniert es,mit 2000 sollte es funktionieren und bei Vista kein Plan. Bei WinDOSen wird das nicht funktionieren.

Edit 2:
Bei Log oben war natürlich weas schief gegangen (wie hätte es auch anders sein können

). Eigentlich sollte es so aussehen:

Zitat:

Systeminformationen

***Betriebssystem

Kernel version: Microsoft Windows XP, Uniprocessor Free
Product type: Professional
Product version: 5.1
Kernel build number: 2600
Service pack: 2
IE version: 7.0000

***Hardware

Processor type: AMD Athlon(tm) XP 3000+
Processor speed: 2.0 GHz
Physical memory: 1024 MB
Video driver: ASUS RADEON A9600XT

Prozessinformationen

Code:

ATTFilter

 
Process information for KLAUS-DIETER:

Name                             Pid Pri Thd  Hnd      VM      WS    Priv
Idle                               0   0   1    0       0      16       0
  System                           4   8  73  461    1876     232       0
    smss                         668  11   3   20    3800     392     164
      csrss                      756  13  11  386   25000    2092    1660
      winlogon                   780  13  26  600   58836    3512    9472
        ati2evxx                 556   8   3   46   18116    2148     480
        services                 824   9  15  276   37280    4220    2236
          avguard                584   8  24   87   81460    5444   55060
          svchost                748   8   7  134   37240    4228    3368
          ati2evxx               992   8   4   53   18836    2232     500
          svchost               1004   8  18  206   62628    5076    4288
          svchost               1080   8   9  207   34312    3712    2508
          svchost               1112   8  53 1148  126112   23932   14224
            wscntfy             2016   8   1   37   28464    2364    1316
          spoolsv               1216   8  11  137   44152    5160    4560
          svchost               1376   8   4  103   33660    3420    2012
          oodag                 1456   8   7  115   37764    4908    2936
          wdfmgr                1540   8   4   64   14860    1772    1612
        lsass                    836   9  15  300   37760     872    2540
explorer                         652   8  13  436   90388   21272   16156
  explorer                       320  13  10  382   90008   11876   14112
  iexplore                       328   8  22 1964  177080   31096   55612
  avgnt                         1428   8   3  105   39500     836    2748
  PSPad                         1636   8   2  136   56516    4660   12652
  ctfmon                        1712   8   1  124   38776    3860    1508
  Launchy                       1740   8   2   61   40696    6600    3852
  cmd                           3140   8   1   31   30576    2784    2384
    pslist                      1492  13   2   92   28588    2420     996

Autoruns

Hiding verified Microsoft entries

***Boot execute

Entry: OOBCPRO
Descr.: "O&O BlueCon XXL V5.0 Build 174"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\oobcpro.exe"

Entry: OODBS
Descr.: "O&O BootTimeDefrag"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\oodbs.exe"

***Appinit DLLs

***Explorer Addons

Entry: application/octet-stream
Descr.: "Microsoft .NET Runtime Execution Engine"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscoree.dll"

Entry: application/x-complus
Descr.: "Microsoft .NET Runtime Execution Engine"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscoree.dll"

Entry: application/x-msdownload
Descr.: "Microsoft .NET Runtime Execution Engine"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscoree.dll"

Entry: ms-help
Descr.: "Microsoft® Help Data Services Module"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\program files\common files\microsoft shared\help\hxds.dll"

Entry: skype4com
Descr.: "Skype for COM API"
Publisher: "(Verified) Skype Technologies SA"
Image Path: "c:\program files\common files\skype\skype4com.dll"

Entry: n/a
Descr.: "Microsoft .NET IE SECURITY REGISTRATION"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscories.dll"

Entry: Fusion Cache
Descr.: "Microsoft .NET Runtime Execution Engine"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\mscoree.dll"

Entry: ShellLink for Application References
Descr.: "Application Deployment Support Library"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\dfshim.dll"

Entry: Shell Icon Handler for Application References
Descr.: "Application Deployment Support Library"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\dfshim.dll"

Entry: Shell Extension for Malware scanning
Descr.: "ShlExt.dll"
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\shlext.dll"

Entry: OpenOffice.org Column Handler
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: OpenOffice.org Infotip Handler
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: OpenOffice.org Property Sheet Handler
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: OpenOffice.org Thumbnail Viewer
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: iTunes
Descr.: "iTunes Mini Player DLL"
Publisher: "(Verified) Apple Computer Inc."
Image Path: "c:\program files\itunes\itunesminiplayer.dll"

Entry: {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
Descr.: ""
Publisher: "(Not verified) Sun Microsystems Inc."
Image Path: "c:\program files\openoffice.org 2.0\program\shlxthdl.dll"

Entry: PDF Shell Extension
Descr.: "PDF Shell Extension"
Publisher: "(Not verified) Adobe Systems Inc."
Image Path: "c:\program files\adobe\acrobat 7.0\activex\pdfshell.dll"

***Internet Explorer Addons

***Logon Startups

Entry: Samsung Common SM
Descr.: "Samsung Status Monitor Manager"
Publisher: "(Not verified) Samsung Electronics."
Image Path: "c:\windows\samsung\comsmmgr\ssmmgr.exe"

Entry: avgnt
Descr.: "Antivirus System Tray Tool"
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\avgnt.exe"

Entry: Launchy.lnk
Descr.: "Launchy"
Publisher: "(Not verified) Code Jelly"
Image Path: "c:\program files\launchy\launchy.exe"

Entry: QuickTime Task
Descr.: "QuickTime Task"
Publisher: "(Not verified) Apple Computer Inc."
Image Path: "c:\program files\quicktime alternative\qttask.exe"

***Winsock Protocoll and Network Providers

***LSA Security Providers

***Autostart Services and non-disabled drivers

Entry: AntiVirScheduler
Descr.: "Dienst zur Steuerung von AntiVir Prüfaufträgen und Updates."
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\sched.exe"

Entry: AntiVirService
Descr.: "Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine."
Publisher: "(Not verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\avguard.exe"

Entry: O&O Defrag
Descr.: "O&O Defragmentation Service"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\oodag.exe"

Entry: avgio
Descr.: "Avira AntiVir Support for Minifilter"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\program files\antivir personaledition classic\avgio.sys"

Entry: avipbb
Descr.: "%avipbbServiceDesc%"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\windows\system32\drivers\avipbb.sys"

Entry: d347bus
Descr.: "PnP BIOS Extension"
Publisher: "(Not verified) "
Image Path: "c:\windows\system32\drivers\d347bus.sys"

Entry: d347prt
Descr.: "SCSI miniport"
Publisher: "(Not verified) "
Image Path: "c:\windows\system32\drivers\d347prt.sys"

Entry: EIO
Descr.: "ASUS Kernel Mode Driver for NT "
Publisher: "(Not verified) ASUSTeK Computer Inc."
Image Path: "c:\windows\system32\drivers\eio.sys"

Entry: GEARAspiWDM
Descr.: "CD/DVD Class Filter Driver"
Publisher: "(Verified) GEAR Software Inc."
Image Path: "c:\windows\system32\drivers\gearaspiwdm.sys"

Entry: gmer
Descr.: "GMER Driver http://www.gmer.net"
Publisher: "(Not verified) GMER"
Image Path: "c:\windows\system32\drivers\gmer.sys"

Entry: PxHelp20
Descr.: "Px Engine Device Driver for Windows 2000/XP"
Publisher: "(Not verified) Sonic Solutions"
Image Path: "c:\windows\system32\drivers\pxhelp20.sys"

Entry: ssmdrv
Descr.: "Avira Snapshot Driver"
Publisher: "(Verified) Avira GmbH"
Image Path: "c:\windows\system32\drivers\ssmdrv.sys"

Entry: StMp3Rec
Descr.: "Treiber fr den Wiederherstellungsmodus"
Publisher: "(Not verified) Microsoft Corporation"
Image Path: "c:\windows\system32\drivers\stmp3rec.sys"

Entry: OOTextMode
Descr.: "O&O TextMode Driver"
Publisher: "(Not verified) O&O Software GmbH"
Image Path: "c:\windows\system32\drivers\oobctm.sys"

Entry: DgiVecp
Descr.: "Windows NT 4.0 IEEE-1284 parallel class driver for ECP
Publisher: Byte and Nibble modes"
Image Path: "(Not verified) DeviceGuys

Entry: pfc
Descr.: "Padus(R) ASPI Shell"
Publisher: "(Not verified) Padus Inc."
Image Path: "c:\windows\system32\drivers\pfc.sys"

Entry: VMnetAdapter
Descr.: "Driver for VMware's Virtual Ethernet Adapters Ver. 2"
Publisher: "(Not verified) VMware Inc."
Image Path: "c:\windows\system32\drivers\vmnetadapter.sys"

***Scheduled Tasks

Entry: AppleSoftwareUpdate.job
Descr.: "Software Application"
Publisher: "(Verified) Apple Computer Inc."
Image Path: "c:\program files\apple software update\softwareupdate.exe"

***Winlogon Entries

Für neue Benutzer/Hilfesuchende!!!

Lob, Kritik und Wünsche: Für neue Benutzer/Hilfesuchende!!!