Hard-/Software:
XP Home von Medion, SP3, ständig geupdatet,
eTtrust Antivirus
Windows Defender
Fritz!Box 7170
Firewall
--------------------------------------------------

Hallo @All,

es dürfte so sein, dass jeder von uns irgendwann mit Virus-fangen dran ist.
Es ist enorm gemein, was da passiert und sehr viele, so wie ich, sind machtlos und sehr hilfsbedürftig dabei.

Bei mir scheinen einige auf ein Mal da zu sein.
Ich fange mal mit dem Gemeinsten an:

Mein Desktop hat sich insofern geändert, dass mein Hintergrundbild (es war in der Mitte plaziert) durch ein
fast so großes Bild mit "Warning! Spyware detected on your Computer" usw. ersetzt wurde (s. Bild1).

Auch die Hintergrundfarbe wurde in weis abgeändert.
Das Schlimmste dabei ist, dass dieses nicht geändert werden kann.

Beim Rechtsklick am Desktop und aus den "Eigenschaften der Anzeige" sind die zwei Reiter Desktop und Bildschirmschoner verschwunden, so dass man das alte Hintergrund-Bild nicht mehr zuweisen kann.

Der WINDOWS-DEFENDER bringt bei jedem Neustart die Meldung:

Name: Trojan: WIN32/Meredrop, Warnstufe: Schwerwiegend, Aktion entfernen.....
--------------------------------------------
Kategorie: Trojaner
Beschreibung:
Dieses Programm installiert andere potenziell unerwünschte Software.
Empfehlung:
Entfernen Sie diese Software unverzüglich.
Ressourcen:
process:
pid:5500
file: C:\WINDOWS\system32\drivers\781lozjc.exe
process: pid:5516
file: C:\WINDOWS\System32\lanmanwrk.exe
regkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\lanmanwrk.exe clean
runkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\lanmanwrk.exe clean

Zusammenfassung:
Es ist eine Änderung an Anwendungsausführung aufgetreten.
Dieser Agent überprüft die Software unmittelbar vor ihrer Ausführung. Es wird eine Warnung angezeigt, wenn ein hohes Risiko besteht, dass die Software Ihren Computer schädigt.
Prüfpunkt: Ausgeführte Prozesse
----------------------------

Nach dem Klicken auf Entfernen wird die Löschung bestätigt, aber bei dem nächsten Start ist der Meredrop wieder da !!!

Der Panta Active-Scan zeigt folgende Ergebnisse (s. Bild2):

Der AD-Aware SE
findet 3 Elemente von Antivirus XP 2008 mit Risikostufe:Niedrig
Beschreibung:Antivirus XP 2008 is a rogue anti-spyware application. It may give exaggerated threat reports on the compromised computer then ask the user to purchase a registered version to remove those reported threats.

Der Hijackthis zeigt dieses:

--------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:25, on 20.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Hardware\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Utils\INTERNET\IE5MAX\ie5max.exe
C:\Hardware\Cherry\CDI\CDI.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\Utils\INTERNET\HijackThis\HiJackThis-202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/
F1 - win.ini: load=c:\elsa-mod\commpro\bin\01comm32.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\programme\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\programme\google\googletoolbar3.dll

O3 - Toolbar: FBFBar - {982E186D-7E13-45ac-9789-50B535246E28} - C:\Programme\FRITZ!Box Monitor\fbfbar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Hardware\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" - osboot

O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: ie5max.exe.lnk = C:\Utils\INTERNET\IE5MAX\ie5max.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Send to Keyman - C:\Hardware\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .MID: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O15 - Trusted Zone: h**p://www.citibank.de
O15 - Trusted Zone: *.civ-versicherung.de
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135192205250

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Hardware\Cherry\CDI\CDI.exe

O23 - Service: Indexdienst CiSvcRpcSs (CiSvcRpcSs) - Unknown owner - .exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home
Cinema\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Fehlerberichterstattungsdienst ERSvcRSVP (ERSvcRSVP) - Unknown owner - .exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe

O23 - Service: NAP-Agent (Network Access Protection) napagentwinmgmt (napagentwinmgmt) - Unknown owner - .exe (file missing)

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

O23 - Service: SSDP-Suchdienst SSDPSRVnapagent (SSDPSRVnapagent) - Unknown owner - .exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Windows Media Player-Netzwerkfreigabedienst WMPNetworkSvcdmserver (WMPNetworkSvcdmserver) - Unknown owner - .exe (file missing)

O23 - Service: Sicherheitscenter wscsvc0190_0900_Warner_MonitorService
(wscsvc0190_0900_Warner_MonitorService) - Unknown owner - .exe (file missing)
O23 - Service: Konfigurationsfreie drahtlose Verbindung WZCSVCPolicyAgent (WZCSVCPolicyAgent) - Unknown owner - .exe (file missing)

O23 - Service: X10 Device Network Service (x10nets) - X10 -
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10246 bytes
--------------------------------------------------------------


Ich bin total verwirt, was hier alles passieret ist!!!

Wie soll ich bloß hier weiter machen? Wie komme ich zu den alten Desktop ohne das Warning-Bild?
Wo und wie soll ich was löschen, um die Plagegeister los zu werden?


Für jede Hilfe bin ich sehr dankbar...

Hi,
gehe die Anleitung wie folgt durch:

1.)
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

3.)
SUPERAntiSpyware:

• Lade dir SUPERAntiSpyware und installiere es
• Folge den Anweisungen und poste das entstandene Logfile

mfg

Hi dark Viruz,

danke für die schnelle Hilfe.


Habe alle 3 geladen.

1) Die Logfile von SmitfraudFix schon erstelt.

2) MalwareBytes Anti-Malware :

es gibt 27 Treffer.

Soll ich sie sofort entfernen, oder muss vorher die Logfile geprüft werden?

3.) SUPERAntiSpyware: noch nicht gestartet...

soll ich die gefundenen Treffer entfernen,
oder muss vorher die Logfile geprüft werden?

Anbei die zwei Logfiles:

SmitFraudFix v2.338

Scan done at 20:15:20,09, 20.08.2008
Run from C:\TROJANS-VIREN\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\TROJANS-VIREN\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Papa

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Papa\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Papa\EIGENE~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

############################################################
Malwarebytes' Anti-Malware 1.25Datenbank Version: 1072
Windows 5.1.2600 Service Pack 3

21:05:11 20.08.2008
mbam-log-08-20-2008 (21-04-47).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 125088
Laufzeit: 25 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winpl02 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winpl02 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpl02 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\virusheat 4.4 (Rogue.VirusHeat) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmandrv (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmandrv (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmandrv (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lanmanwrk.exe clean (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\netsearchsoft.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\717305 (Trojan.BHO) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\drivers\Winpl02.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\lanmanwrk.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dl_ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\lphc5ulj0erep.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\qmopt.dll (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\lanmandrv.sys (Rootkit.Agent) -> No action taken.

Von Malwarebytes bitte alle Funde löschen lassen.
Also nochmal scannen.

Hi Dark Viruz,

zum Glück musste ich nicht nochmals scannen. Ich habe auf die Antwort gewartet.

Allerdings es konnten nicht alle 27 infizierten gelöscht werden.

5 wichtige davon sind noch da (siehe Bild)
###############################################

SUPERAntiSpyware Scan Loghttp://www.superantispyware.com

Generated 08/20/2008 at 09:54 PM

Application Version : 4.15.1000

Core Rules Database Version : 3541
Trace Rules Database Version: 1530

Scan type : Quick Scan
Total Scan Time : 00:08:00

Memory items scanned : 405
Memory threats detected : 0
Registry items scanned : 430
Registry threats detected : 0
File items scanned : 12597
File threats detected : 16

Trojan.Dropper/Gen
C:\UMAX-SCANNER\UNINSTAL.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\VISTASCAN\UNINSTALLER.LNK

Parasite.CoolWebSearch Variant
C:\WINDOWS\01GERMAN.TXT:YREC <- DYREC
C:\WINDOWS\ITA_SUP.01L::CCJBT
C:\WINDOWS\KB890047.LOG::JKNDE
C:\WINDOWS\KB893086.LOG::NSCBQ
C:\WINDOWS\KB902400.LOG::XRCCZN
C:\WINDOWS\LIC_ITA.01T::BVBNTY
C:\WINDOWS\LIC_POR.TXT::TVMSNJ
C:\WINDOWS\OCGEN.LOG::HPXOF
C:\WINDOWS\OCGEN.LOG::HRTBAB
C:\WINDOWS\SESSMGR.SETUP.LOG::TVXSUY
C:\WINDOWS\STI_TRACE.LOG::KNABY
C:\WINDOWS\UK__SUP.01L::JOOAOZ
C:\WINDOWS\WINNT.BMP::TTONDW
C:\WINDOWS\WMPRFDEU.PRX::IYEITH

################################################

Ich hoffe, ich habe alles richtig gemacht und ich warte auf Ihre geschätzte Hilfe, was ich noch machen muss/darf.....


Wie bereinige ich die Treffer (welche genau) von SUPERAntiSpyware ?
Welches Button macht die Löschungen?

Bei Malwarebytes hättest du nur neustarten müssen.
Hast du das gemacht?
Wenn nicht, mache das bitte.
Zu SASW:

Schau in der Anleitung unten, da stehts.

mfg

Hi Dark Viruz,

sorry, dass ich mich so spät melde.

Danke für die gute Hilfe.
Klasse Antivirusprogramme.

Der Desktop ist wieder clean und die Reiter bei der Anzeige wieder da.

Heute habe ich Malwarebytes' Anti-Malware gestartet und er hat nichts mehr infiziertes gefunden.

>>>>> Zu SASW:
Schau in der Anleitung unten, da stehts.<<<<<<

Diese ist auf Englisch (hilft mir nicht so viel). Ich habe aber auf 'weiter' geklickt und es hat alles gelöscht und in Quarantäne gestellt.
Heute morgen aber waren diese wieder da (s. Bild).
Wie kann man diese Parasiten löschen?

Zu Logfile von SmitfraudFix :
hat es welche Virus da gegeben, die ich mit Option 2 löschen sollte?

Frage: SASW hat sich in der Desktop-Leiste unten rechts "eingenistet". "Anable Real-Time Protektion" ist markiert.
Was passiert damit? Benötige ich es noch, oder soll ich es aus der Leiste entfernen?

MfG

Nachtrag:
Das genannte Bild:

Was SmitfraudFix alles entfernt => Klick

Zitat:

Diese ist auf Englisch (hilft mir nicht so viel). Ich habe aber auf 'weiter' geklickt und es hat alles gelöscht und in Quarantäne gestellt.
Heute morgen aber waren diese wieder da (s. Bild).
Wie kann man diese Parasiten löschen?

Hier => cwsshredder

Zitat:

Frage: SASW hat sich in der Desktop-Leiste unten rechts "eingenistet". "Anable Real-Time Protektion" ist markiert.
Was passiert damit? Benötige ich es noch, oder soll ich es aus der Leiste entfernen?

SASW kannst du deinstallieren wenn du willst.

Hi Dark Viruz,

danke für die verschiedenen, guten Lösungen

1.) cwsshredder findet zum Glück keine "Parasiten usw." .

2.) SASW findet Einiges, was ich manuell gelöscht habe.
Eine bestimmte Datei und zwar die Sti_Trace.log lässt sich nicht löschen, da sie angeblich in Zugriff ist !!!

Gibt es eine Möglichkeit solche Dateien trotzdem zu löschen?


3.) SmitfraudFix ist sehr gut, aber wenn ich den gesicherten Modus starte, dann sind die unzähligen Icon im Desktop total durcheinander und ich muss sie mühsam wieder einordnen.

Gibt es auch dafür eine Lösung, dass die Icons da bleiben wo sie waren?

Was passiert, wenn ich unter normalen Windows über den cmd.exe den SmitfraudFix starte?!? Klappt es nicht ?
Warum muss es im gesicherten Modus gestartet werden?

Mit schönem Dank und Gruß aus München

Hi

1.) Ok

2.) Gib mal den genauen Pfad der Datei an.

3.)SmitfraudFix kannst du doch wieder löschen, du musst es nicht behalten.
Wenn du die Anleitung nicht ordnungsgemäß befolgst, bist du selbst Schuld, wenn was nicht gehen sollte.
Und im Safe Mode sollte es durchgeführt werden, da in diesem Modus Schädlingsprozesse und deren Reg-Einträge leichter zu entfernen sind.

mfg

Hi,

2.) C:\WINDOWS\Sti_Trace.log

3.) SmitfraudFix: Es geht nicht um das Löschen. Womöglich brauche es bald wieder.

>>>>Wenn du die Anleitung nicht ordnungsgemäß befolgst, bist du selbst Schuld, wenn was nicht gehen sollte. <<<<<

Bis jetzt habe ich nur damit gesucht gehabt und auf deinen Wunsch hin die Logfile gesendet. Hast du da etwas verdächtiges gefunden?
Die Clean-Funktion habe ich nicht gestartet.

Mal schauen. Ich werde einmal unter den normalen Windows über den cmd.exe den SmitfraudFix starten (vorher werde ich einen Wiederherstellungspunkt setzen.
Kaputt kann nichts gehen... Oder hast du Bedenken?

MfG

Hi,
ich übernehm hier

die Datei C:\WINDOWS\Sti_Trace.log wird ständig von Windows benutzt, deswegen kann man sie nicht löschen.
Der Dienst, der auf die Datei zugreift heißt Still Image Monitor und kann über msconfig abgestellt werden.

nachzulesen zb hier

Smitfraudfix brauchst du nicht unbedingt auszuführen. Im normalen Modus ist der Fix auf jedenfall nicht so wirksam.
Poste bitte auch ein neues Hijackthislog.

lg myrtille

Hi myrtille,
anbei eine interessante Variante:

Ich habe auf die Datei: C:\WINDOWS\Sti_Trace.log eine Verknüpfung auf dem Desktop gemacht und darauf geklickt.
Sofort meldete der Windows-Defender eine Warnstufe "schwerwiegend" für TrojanDownloader:Win32/WinShow (Bedeutung: s. unten).
Dahinter stecken die Dateien C:\WINDOWS\Sti_Trace.log und die Desktop-Verknüpfung (s. Bild)!!!
Ich habe auf "alle entfernen" geklickt und die Verknüpfung war weg, nicht aber die Datei.

Danach meldet der Defender: alles okay, obwohl C:\WINDOWS\Sti_Trace.log noch da ist...

Erklärung zu: TrojanDownloader:Win32/WinShow:

This threat is classified as a Trojan - Downloader. A downloader trojan accesses remote websites in an attempt to download and install malicious or potentially unwanted software. Some downloader trojans target specific files on remote websites while others may target a specific URL that points to a website containing exploit code that may allow the site to automatically download and software or malicious code on vulnerable systems. This threat is detected by the Microsoft antivirus engine. Technical details are not currently available.

------------------------------------------------------------------------------------------------------------------------------------

Anbei die HijackThis - Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:45, on 23.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Hardware\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Hardware\Cherry\CDI\CDI.exe
C:\Utils\INTERNET\IE5MAX\ie5max.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Utils\INTERNET\HijackThis\HiJackThis-202.exe

F1 - win.ini: load=c:\elsa-mod\commpro\bin\01comm32.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: FBFBar - {982E186D-7E13-45ac-9789-50B535246E28} - C:\Programme\FRITZ!Box Monitor\fbfbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Hardware\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: ie5max.exe.lnk = C:\Utils\INTERNET\IE5MAX\ie5max.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Send to Keyman - C:\Hardware\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .MID: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135192205250
O20 - Winlogon Notify: !SASWinLogon - C:\TROJANS-VIREN\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Hardware\Cherry\CDI\CDI.exe
O23 - Service: Indexdienst CiSvcRpcSs (CiSvcRpcSs) - Unknown owner - .exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Automatische Konfiguration (verkabelt) Dot3svc HotKey Poller (Dot3svc HotKey Poller) - Unknown owner - .exe (file missing)
O23 - Service: Fehlerberichterstattungsdienst ERSvcRSVP (ERSvcRSVP) - Unknown owner - .exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NAP-Agent (Network Access Protection) napagentwinmgmt (napagentwinmgmt) - Unknown owner - .exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SSDP-Suchdienst SSDPSRVnapagent (SSDPSRVnapagent) - Unknown owner - .exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Volumeschattenkopie VSSAppMgmt (VSSAppMgmt) - Unknown owner - .exe (file missing)
O23 - Service: Windows Media Player-Netzwerkfreigabedienst WMPNetworkSvcdmserver (WMPNetworkSvcdmserver) - Unknown owner - .exe (file missing)
O23 - Service: Sicherheitscenter wscsvc0190_0900_Warner_MonitorService (wscsvc0190_0900_Warner_MonitorService) - Unknown owner - .exe (file missing)
O23 - Service: Konfigurationsfreie drahtlose Verbindung WZCSVCPolicyAgent (WZCSVCPolicyAgent) - Unknown owner - .exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10238 bytes
------------------------------------------------------------------------------------------------------------------------------------------------

Bemerkungen:
der O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe
ist schon längst unbrauchbar, bekomme aber mit fix checked nicht weg.

Wenn du was findest, welches raus muss, bitte Bescheid geben.


Mit Dank und Gruß