Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Vundo.Gen Trojaner wie löschen?? (https://www.trojaner-board.de/73005-vundo-gen-trojaner-loeschen.html)

a13x 12.05.2009 14:00
Hab ComboFix jetzt durchlaufen lassen, dauerte etwa 10minuten. Diese "wiederherstellungskonsole" brauche ich die auch? Dazu müsste ich nämlich ein Online Update machen, was ich aber jetzt erstmal nicht gemacht habe.

Ist jetzt alles überstanden oder wie gehts nun weiter?

@ Chris, danke für deine hilfe :)

Code:
ComboFix 09-05-11.08 - Besitzer 12.05.2009 13:34.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1642 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_nav.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_navps.dat
c:\windows\system32\alirojak.ini
c:\windows\system32\egihokem.ini
c:\windows\system32\esodohuy.ini
c:\windows\system32\ifitejul.ini
c:\windows\system32\iwozituj.ini
c:\windows\system32\ujakazer.ini

----- BITS: Eventuell infizierte Webseiten -----

hxxp://83.149.105.228
.
(((((((((((((((((((((((  Dateien erstellt von 2009-04-12 bis 2009-05-12  ))))))))))))))))))))))))))))))
.

2009-05-11 10:45 . 2009-05-11 10:45        --------        d-----w        c:\programme\CCleaner
2009-04-16 07:51 . 2009-04-16 07:51        --------        d-----w        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-04-15 09:29 . 2009-02-06 10:10        227840        -c----w        c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 09:29 . 2009-03-06 14:19        286720        -c----w        c:\windows\system32\dllcache\pdh.dll
2009-04-15 09:29 . 2009-02-09 11:21        111104        -c----w        c:\windows\system32\dllcache\services.exe
2009-04-15 09:29 . 2009-02-09 10:51        401408        -c----w        c:\windows\system32\dllcache\rpcss.dll
2009-04-15 09:29 . 2009-02-09 10:51        473600        -c----w        c:\windows\system32\dllcache\fastprox.dll
2009-04-15 09:29 . 2009-02-09 10:51        678400        -c----w        c:\windows\system32\dllcache\advapi32.dll
2009-04-15 09:29 . 2009-02-09 10:51        736768        -c----w        c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 09:29 . 2009-02-09 10:51        453120        -c----w        c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 09:29 . 2009-02-09 10:51        740352        -c----w        c:\windows\system32\dllcache\ntdll.dll
2009-04-15 09:29 . 2008-04-21 21:13        217600        -c----w        c:\windows\system32\dllcache\wordpad.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-12 12:36 . 2008-01-17 15:27        137185312        --sha-w        c:\windows\system32\drivers\fidbox.dat
2009-05-12 11:15 . 2008-01-17 15:27        1613120        --sha-w        c:\windows\system32\drivers\fidbox.idx
2009-05-11 13:03 . 2008-10-12 21:14        --------        d-----w        c:\programme\Sony
2009-05-11 13:02 . 2009-01-30 15:21        --------        d-----w        c:\programme\Mumble
2009-05-11 12:29 . 2008-01-17 14:33        --------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2009-05-11 11:22 . 2009-05-11 11:22        --------        d-----w        c:\programme\Trend Micro
2009-04-01 18:11 . 2009-04-01 18:11        --------        d-----r        c:\programme\Skype
2009-03-30 19:49 . 2008-01-16 18:49        --------        d-----w        c:\programme\ICQLite
2009-03-28 12:08 . 2008-04-14 04:13        6762649        ----a-w        c:\windows\Internet Logs\tvDebug.zip
2009-03-06 14:19 . 2006-02-28 12:00        286720        ----a-w        c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00        826368        ----a-w        c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00        78336        ----a-w        c:\windows\system32\ieencode.dll
2009-02-17 17:11 . 2009-02-17 17:11        24232        ----a-w        c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 . 2009-02-17 13:33        89256        ----a-w        c:\windows\system32\ElbyCDIO.dll
2008-01-17 15:42 . 2008-01-17 14:48        48        --sh--w        c:\windows\S22198A47.tmp
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-07-13 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-11-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2007-11-12 19968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 EslWireService;EslWireService;c:\programme\EslWire\service\EslWireSrv.exe [08.05.2008 15:29 868864]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [08.05.2008 15:29 20216]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2008 18:26 1527900]
S3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [16.01.2008 20:08 11372]
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
.
Inhalt des "geplante Tasks" Ordners

2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-05-12 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-08 02:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 13:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
Zeit der Fertigstellung: 2009-05-12 13:37
ComboFix-quarantined-files.txt  2009-05-12 12:36

Vor Suchlauf: 14 Verzeichnis(se), 32.334.184.448 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 32.376.897.536 Bytes frei

141        --- E O F ---        2009-04-15 21:55

Chris4You 12.05.2009 15:13
Hi,

das sieht schon recht gut aus...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system32\CF5534.exe
c:\windows\system32\drivers\SysInteg010.sys
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Was treibt der Rechner?

chris

a13x 12.05.2009 15:37
Die Datei CF5534.exe kann ich nicht finden. Ich überprüfe nochmal alles und schau noch ein paar mal. Die eine Datei scheint aber ein volltreffer gewesen zu sein ;)

Dem Rechner gehts gut, ist verdammt schnell hab noch viele unnötige Sachen gelöscht und werde morgen noch Defragmentieren.

Kann man sich für die Zukunft besser schützen? Und welche von den verwendeten Programmen können immer benutzt werden? ComboFix ist ja eher was für Experten was ich so gelesen habe...

Mfg

Code:
Datei SysInteg010.sys empfangen 2009.05.12 16:29:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/40 (5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.101        2009.05.12        -
AhnLab-V3        5.0.0.2        2009.05.12        -
AntiVir        7.9.0.166        2009.05.12        -
Antiy-AVL        2.0.3.1        2009.05.12        -
Authentium        5.1.2.4        2009.05.12        W32/SYStroj.N.gen!Eldorado
Avast        4.8.1335.0        2009.05.11        -
AVG        8.5.0.327        2009.05.12        -
BitDefender        7.2        2009.05.12        -
CAT-QuickHeal        10.00        2009.05.12        -
ClamAV        0.94.1        2009.05.12        -
Comodo        1157        2009.05.08        -
DrWeb        5.0.0.12182        2009.05.12        -
eSafe        7.0.17.0        2009.05.12        -
eTrust-Vet        31.6.6501        2009.05.12        -
F-Prot        4.4.4.56        2009.05.12        W32/SYStroj.N.gen!Eldorado
F-Secure        8.0.14470.0        2009.05.12        -
Fortinet        3.117.0.0        2009.05.12        -
GData        19        2009.05.12        -
Ikarus        T3.1.1.49.0        2009.05.12        -
K7AntiVirus        7.10.732        2009.05.11        -
Kaspersky        7.0.0.125        2009.05.12        -
McAfee        5612        2009.05.11        -
McAfee+Artemis        5612        2009.05.11        -
McAfee-GW-Edition        6.7.6        2009.05.12        -
Microsoft        1.4602        2009.05.12        -
NOD32        4068        2009.05.12        -
Norman        6.01.05        2009.05.12        -
nProtect        2009.1.8.0        2009.05.12        -
Panda        10.0.0.14        2009.05.11        -
PCTools        4.4.2.0        2009.05.07        -
Prevx        3.0        2009.05.12        -
Rising        21.29.14.00        2009.05.12        -
Sophos        4.41.0        2009.05.12        -
Sunbelt        3.2.1858.2        2009.05.12        -
Symantec        1.4.4.12        2009.05.12        -
TheHacker        6.3.4.1.324        2009.05.09        -
TrendMicro        8.950.0.1092        2009.05.12        -
VBA32        3.12.10.4        2009.05.12        -
ViRobot        2009.5.12.1731        2009.05.12        -
VirusBuster        4.6.5.0        2009.05.11        -
weitere Informationen
File size: 9984 bytes
MD5...: 81e43ef006624442b053ba007e120e22
SHA1..: 7f4cfdc2c9da6602873bb5c4d329341586863588
SHA256: 22d5f78580a02b40d748e21a80d91023bd3395f47a36b7642759d8da09ca867d
SHA512: f3f5546665611fc4d75f4247814abfe9cf8c7d2b26ca6823dfa9460e08079a48
bfd21203e901512926c07ad07dd5654cf78ec93912e4fcd8cc7386a0473869db
ssdeep: 192:G578DwBKZBS/iDbXwQvSt+f7VdbQarUsmT4y4SF:I78DwBK/DbXwubWsmT4U
F
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1640
timedatestamp.....: 0x47e67302 (Sun Mar 23 15:10:58 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x1480 0x1480 6.64 673aa3e01b345607835644a0a1d6ecd5
.rdata 0x1780 0x143 0x180 3.92 f7561bac29f35a26b7d4cd532752d8fd
.data 0x1900 0x945 0x980 0.86 1c340ea46905ba2c17fd561da3aa749a
INIT 0x2280 0x214 0x280 4.49 c227a0b7c55453264086f057fc898e3a
.reloc 0x2500 0x190 0x200 4.74 3cc3513aa4f15b7937dcf7122046006f

( 1 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, KeServiceDescriptorTable, MmIsAddressValid, KeAddSystemServiceTable, RtlInitUnicodeString, ZwQuerySystemInformation, ExFreePoolWithTag, ExSystemTimeToLocalTime, KeQuerySystemTime, IoDeleteDevice, IoDeleteSymbolicLink, IofCompleteRequest, RtlUpperChar, IoCreateSymbolicLink, IoCreateDevice, _except_handler3, RtlTimeToTimeFields, _vsnprintf

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Chris4You 12.05.2009 15:51
Hi,

da bin ich mir leider nicht sicher, ob es nicht ein false/positiv ist...
Allerdings ist es seltsam, das der Treiber gleich 3 mal läuft:
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]

Versuchen wir ihn mal zu lokalisieren:
Start->Einstellungen->Systemsteuerung->Dienste und dort mal nach dem Ding suchen, sonst machen wir das mit Flekmann in der Reg...

chris

a13x 12.05.2009 16:02
ich weiß zwar nicht genau was ich da schauen soll aber ich hab dir einfach mal zwei Screenshots gemacht :)

http://s6b.directupload.net/images/090512/d43qn4y6.jpg

http://s11.directupload.net/images/090512/fk2fm4bs.jpg

Chris4You 12.05.2009 16:13
Hi,

suchen wir mal:
......RegisterySearch:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SysInteg010.sys

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Start -> ausführen -> cmd (reinschreiben) -> OK
Es öffnet sich ein DOS-Fenster -> sc queryex > C:\services.txt (reinschreiben)
Inhalt von C:\services.txt hier posten.

chris (bin dann wech...)

a13x 12.05.2009 16:26
danke soweit, bin morgen wieder online. hier das ergebnis

Code:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SysInteg010.sys" 12.05.2009 16:21:08

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1715567821-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\\WINDOWS\\system32\\drivers\\SysInteg010.sys"

[HKEY_USERS\S-1-5-21-1715567821-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
"a"="C:\\WINDOWS\\system32\\drivers\\SysInteg010.sys"
Code:
SERVICE_NAME: ALG
DISPLAY_NAME: Gatewaydienst auf Anwendungsebene
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1804
        FLAGS              :

SERVICE_NAME: AntiVirScheduler
DISPLAY_NAME: Avira AntiVir Personal - Free Antivirus Planer
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1840
        FLAGS              :

SERVICE_NAME: AntiVirService
DISPLAY_NAME: Avira AntiVir Personal - Free Antivirus Guard
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1932
        FLAGS              :

SERVICE_NAME: AudioSrv
DISPLAY_NAME: Windows Audio
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: Browser
DISPLAY_NAME: Computerbrowser
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: CryptSvc
DISPLAY_NAME: Kryptografiedienste
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: CTAudSvcService
DISPLAY_NAME: Creative Audio Service
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1828
        FLAGS              :

SERVICE_NAME: DcomLaunch
DISPLAY_NAME: DCOM-Server-Prozessstart
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1056
        FLAGS              :

SERVICE_NAME: Dhcp
DISPLAY_NAME: DHCP-Client
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: Dnscache
DISPLAY_NAME: DNS-Client
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1268
        FLAGS              :

SERVICE_NAME: Eventlog
DISPLAY_NAME: Ereignisprotokoll
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 884
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: EventSystem
DISPLAY_NAME: COM+-Ereignissystem
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: FastUserSwitchingCompatibility
DISPLAY_NAME: Kompatibilität für schnelle Benutzerumschaltung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: helpsvc
DISPLAY_NAME: Hilfe und Support
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: HidServ
DISPLAY_NAME: HID Input Service
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: HTTPFilter
DISPLAY_NAME: HTTP-SSL
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 3872
        FLAGS              :

SERVICE_NAME: lanmanserver
DISPLAY_NAME: Server
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: lanmanworkstation
DISPLAY_NAME: Arbeitsstationsdienst
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: LmHosts
DISPLAY_NAME: TCP/IP-NetBIOS-Hilfsprogramm
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1296
        FLAGS              :

SERVICE_NAME: Netman
DISPLAY_NAME: Netzwerkverbindungen
        TYPE              : 120  WIN32_SHARE_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: Nla
DISPLAY_NAME: NLA (Network Location Awareness)
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: NVSvc
DISPLAY_NAME: NVIDIA-OMEGA Display Driver Service
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 148
        FLAGS              :

SERVICE_NAME: O&O Defrag
DISPLAY_NAME: O&O Defrag
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 164
        FLAGS              :

SERVICE_NAME: PlugPlay
DISPLAY_NAME: Plug & Play
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 884
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: PnkBstrA
DISPLAY_NAME: PnkBstrA
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 232
        FLAGS              :

SERVICE_NAME: PolicyAgent
DISPLAY_NAME: IPSEC-Dienste
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 896
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: ProtectedStorage
DISPLAY_NAME: Geschützter Speicher
        TYPE              : 120  WIN32_SHARE_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 896
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: RasMan
DISPLAY_NAME: RAS-Verbindungsverwaltung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: RpcSs
DISPLAY_NAME: Remoteprozeduraufruf (RPC)
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1108
        FLAGS              :

SERVICE_NAME: SamSs
DISPLAY_NAME: Sicherheitskontenverwaltung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 896
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

SERVICE_NAME: Schedule
DISPLAY_NAME: Taskplaner
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: seclogon
DISPLAY_NAME: Sekundäre Anmeldung
        TYPE              : 120  WIN32_SHARE_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: SENS
DISPLAY_NAME: Systemereignisbenachrichtigung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: SharedAccess
DISPLAY_NAME: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: ShellHWDetection
DISPLAY_NAME: Shellhardwareerkennung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: Spooler
DISPLAY_NAME: Druckwarteschlange
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1776
        FLAGS              :

SERVICE_NAME: srservice
DISPLAY_NAME: Systemwiederherstellungsdienst
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: SSDPSRV
DISPLAY_NAME: SSDP-Suchdienst
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1296
        FLAGS              :

SERVICE_NAME: stisvc
DISPLAY_NAME: Windows-Bilderfassung (WIA)
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 276
        FLAGS              :

SERVICE_NAME: TapiSrv
DISPLAY_NAME: Telefonie
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: TermService
DISPLAY_NAME: Terminaldienste
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1056
        FLAGS              :

SERVICE_NAME: Themes
DISPLAY_NAME: Designs
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: TrkWks
DISPLAY_NAME: Überwachung verteilter Verknüpfungen (Client)
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: vsmon
DISPLAY_NAME: TrueVector Internet Monitor
        TYPE              : 110  WIN32_OWN_PROCESS (interactive)
        STATE              : 4  RUNNING
                                (NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1336
        FLAGS              :

SERVICE_NAME: W32Time
DISPLAY_NAME: Windows-Zeitgeber
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: WebClient
DISPLAY_NAME: WebClient
        TYPE              : 10  WIN32_OWN_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1880
        FLAGS              :

SERVICE_NAME: winmgmt
DISPLAY_NAME: Windows-Verwaltungsinstrumentation
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: wscsvc
DISPLAY_NAME: Sicherheitscenter
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: wuauserv
DISPLAY_NAME: Automatische Updates
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

SERVICE_NAME: WZCSVC
DISPLAY_NAME: Konfigurationsfreie drahtlose Verbindung
        TYPE              : 20  WIN32_SHARE_PROCESS
        STATE              : 4  RUNNING
                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0        (0x0)
        SERVICE_EXIT_CODE  : 0        (0x0)
        CHECKPOINT        : 0x0
        WAIT_HINT          : 0x0
        PID                : 1148
        FLAGS              :

Chris4You 13.05.2009 06:29
Hi,

sieht aus wie ein Devicetreiber und legt wohl Laufwerk "a" und "f" auf sich um,
denke daher das es ein "regulärer" Treiber ist...

chris

a13x 13.05.2009 14:21
Hi,

AntiVir meldet jetzt auch nichts mehr beim hochfahren. Glaub das wars erstmal, danke!
Kannst du nun irgendwelche Programme empfehlen? Oder einfach nur AntiVir einmal die Woche drüberlaufen lassen?

Chris4You 13.05.2009 14:43
Hi,

AviGuard aktiviert lassen und einen Verhaltensscanner zusätzlich installieren, wie z.B. Threadfire (http://www.gutefrage.net/tipp/thread...programm-avira) oder in Verbindung mit einer Firewal TallEmu (http://support.tallemu.com/vbforum/s...ead.php?t=7993) (aber nicht beides gleichzeitig).

Dann noch MAM als zweitscanner und den einmal die Woche updaten und gesamt drüberlassen, dabei scannt auch Avira gleich mit ;o)...

chris & Out

a13x 13.05.2009 14:47
denkste... :(

gerade vor einer minute gekommen... grrr

Code:
In der Datei 'C:\WINDOWS\system32\panasoba.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP351\A0134408.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Chris4You 13.05.2009 16:40
Hi,

warst Du auf einer bestimmten Seite oder im Internet?
PANASOBA.EXE->http://www.prevx.com/filenames/38849...ASOBA.EXE.html
(Sehr neu, und schlimmer: Fileinfector d. h. verseucht andere EXE-Files [also eigentlich nicht vundo])..

Die Datei war vorher nicht da falsch, sie ist im RSIT-Log zu finden, wurde aber nicht erkannt und ich habe sie übersehen???, die muß auf Deinem Rechner gelandet sein...
Über was surfst Du, IE oder firefox?
Alle Plugins mal disablen, Routereinstellungen (wenn vorhanden) prüfen (DHCP-Server etc.).

Also noch mal alles von vorne:
Alles Scanner updaten, combofix mit Start->ausführen-> combofix /u deinstallieren und neu runterladen, zusätzlich
http://secured2k.home.comcast.net/to...undoBeGone.exe
Downloaden und im abgesicherten Modus ausführen...!
Nach dem Lauf von VTG bitte das Log (findest Du auf dem Desktop) posten!

Installiere auch unbedingt zusätzlich Threadfire oder Talemu...

chris
PS.:
Da fällt mir die Warnung von Combofix wieder ein:

----- BITS: Eventuell infizierte Webseiten -----

hxxp://83.149.105.228

Hmm, wenn Sie schon vorher da war, lass sie bitte bei virustotal mal überprüfen (aus der Quarantäne heraus)...
Und wir müssen noch mal die Systemwiederherstellung "putzen"...

a13x 13.05.2009 16:57
Langsam gehts mir echt aufn keks. Bis jetzt läuft der Rechner noch normal.

Ich benutze Firefox, vielleicht liegts an dem. Fragt immer nach updates Google Toolbar etc, hats mit dem was zu tun? Ich kann dir genau sagen wo ich war das sind nicht viele Seiten. Trojaner-Board, paar Autoforen... da bin ich schon seit 2 Jahren, Lokalisten, Myspace, Youtube... das wars. Wovon soll ich mir das Ding also schon wieder geholt haben?!
Was muss gemacht werden um die Plugins zu deaktiveren?

Für den zukünftigen Schutz meintest du doch das Threadfire (hab ich schon drauf) und Talemu nicht gleichzeitig laufen sollten?

Naja dann fang ich mal wieder von vorne an :heulen:

Mfg

Chris4You 13.05.2009 17:07
Hi,

der Eintrag gehört zu einer Niederländischen Adresse...
Zitat:
inetnum: 83.149.105.0 - 83.149.105.255
netname: LEASEWEB
descr: LeaseWeb
wenn er nicht gefälscht wurde...

Also ich habe nachgeschaut, der Eintrag ist schon eine ganze Weile da, stellt sich die Frage wieso er nicht erkannt wurde (und ich habe Ihn leider übersehen [Asche auf mein Haupt])...

Hm, könnte auch ein False/Positive sein, um das zu kontrollieren müsstest Du die Datei wiederherstellen (aber Vorsicht beim klicken, kein Doppelklick, nicht ausführen, und sie ist versteckt (hidden))
Alternativ aus der Quarantäne heraus an Avira schicken, wobei die bei sowas sehr "gemütlich" sind...

Hmm, sehr seltsam was Avira da treibt:
Zitat:
C:\WINDOWS\system32\panasoba.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
chris

a13x 13.05.2009 18:10
Habe Avira jetzt erstmal deaktiviert, es nervt. Ständig kommen Meldungen von gefährlichen Programmen die ich gerade installiert hab weil du sie mir empfohlen hast lol. Dafür hab ich jetzt ThreadFire und Online Armor am laufen.

Hab MAM durchgelassen, nix. Dann Combofix mit ausführen und anschliessend VBG im abgesicherten Modus.

Wie soll ich die Adresse bei Virustotal überprüfen lassen, was muss ich machen?

Hier die logs...

http://s10.directupload.net/images/090513/b4laxm2b.jpg

Code:
[05/13/2009, 17:57:53] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Besitzer\Desktop\VirtumundoBeGone.exe" )
[05/13/2009, 17:58:03] - Detected System Information:
[05/13/2009, 17:58:03] -  Windows Version: 5.1.2600, Service Pack 3
[05/13/2009, 17:58:03] -  Current Username: Besitzer (Admin)
[05/13/2009, 17:58:03] -  Windows is in SAFE mode with Networking.
[05/13/2009, 17:58:03] - Searching for Browser Helper Objects:
[05/13/2009, 17:58:03] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[05/13/2009, 17:58:03] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/13/2009, 17:58:03] -  BHO 3: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[05/13/2009, 17:58:03] - Finished Searching Browser Helper Objects
[05/13/2009, 17:58:03] - Finishing up...
[05/13/2009, 17:58:03] - Nothing found! Exiting...
Code:
ComboFix 09-05-11.08 - Besitzer 13.05.2009 17:48.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1339 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((  Dateien erstellt von 2009-04-13 bis 2009-05-13  ))))))))))))))))))))))))))))))
.

2009-05-13 16:28 . 2009-05-13 16:28        --------        d-----w        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OnlineArmor
2009-05-13 16:28 . 2009-05-13 16:29        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\OnlineArmor
2009-05-13 16:27 . 2009-04-28 04:02        31824        ----a-w        c:\windows\system32\drivers\OAmon.sys
2009-05-13 16:27 . 2009-04-28 04:07        29776        ----a-w        c:\windows\system32\drivers\OAnet.sys
2009-05-13 16:27 . 2009-04-28 04:01        198224        ----a-w        c:\windows\system32\drivers\OADriver.sys
2009-05-13 16:27 . 2009-05-13 16:27        --------        d-----w        c:\programme\Tall Emu
2009-05-13 13:50 . 2009-03-03 11:19        39184        ----a-w        c:\windows\system32\drivers\TfSysMon.sys
2009-05-13 13:50 . 2009-03-03 11:19        12560        ----a-w        c:\windows\system32\drivers\TfKbMon.sys
2009-05-13 13:50 . 2009-03-03 11:19        33040        ----a-w        c:\windows\system32\drivers\TfNetMon.sys
2009-05-13 13:50 . 2009-03-03 11:19        51472        ----a-w        c:\windows\system32\drivers\TfFsMon.sys
2009-05-13 13:50 . 2009-05-13 14:00        --------        d-----w        c:\programme\ThreatFire
2009-05-13 13:50 . 2009-05-13 13:50        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-05-11 15:13 . 2009-05-11 15:13        --------        d-----w        C:\rsit
2009-05-11 11:22 . 2009-05-11 11:22        --------        d-----w        c:\programme\Trend Micro
2009-05-11 10:58 . 2009-05-11 10:58        --------        d-----w        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-05-11 10:58 . 2009-04-06 14:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys
2009-05-11 10:58 . 2009-04-06 14:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-11 10:58 . 2009-05-11 10:58        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-11 10:58 . 2009-05-11 10:58        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware
2009-05-11 10:45 . 2009-05-11 10:45        --------        d-----w        c:\programme\CCleaner
2009-04-16 07:51 . 2009-04-16 07:51        --------        d-----w        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-04-15 09:29 . 2009-02-06 10:10        227840        -c----w        c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 09:29 . 2009-03-06 14:19        286720        -c----w        c:\windows\system32\dllcache\pdh.dll
2009-04-15 09:29 . 2009-02-09 11:21        111104        -c----w        c:\windows\system32\dllcache\services.exe
2009-04-15 09:29 . 2009-02-09 10:51        401408        -c----w        c:\windows\system32\dllcache\rpcss.dll
2009-04-15 09:29 . 2009-02-09 10:51        473600        -c----w        c:\windows\system32\dllcache\fastprox.dll
2009-04-15 09:29 . 2009-02-09 10:51        678400        -c----w        c:\windows\system32\dllcache\advapi32.dll
2009-04-15 09:29 . 2009-02-09 10:51        736768        -c----w        c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 09:29 . 2009-02-09 10:51        453120        -c----w        c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 09:29 . 2009-02-09 10:51        740352        -c----w        c:\windows\system32\dllcache\ntdll.dll
2009-04-15 09:29 . 2008-04-21 21:13        217600        -c----w        c:\windows\system32\dllcache\wordpad.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-13 16:51 . 2008-01-17 15:27        137400352        --sha-w        c:\windows\system32\drivers\fidbox.dat
2009-05-13 16:28 . 2006-02-28 12:00        85862        ----a-w        c:\windows\system32\perfc007.dat
2009-05-13 16:28 . 2006-02-28 12:00        460294        ----a-w        c:\windows\system32\perfh007.dat
2009-05-13 04:03 . 2008-01-17 15:27        1614464        --sha-w        c:\windows\system32\drivers\fidbox.idx
2009-05-12 14:10 . 2009-01-16 12:04        --------        d-----w        c:\programme\Spybot - Search & Destroy
2009-05-11 13:03 . 2008-10-12 21:14        --------        d-----w        c:\programme\Sony
2009-05-11 13:02 . 2009-01-30 15:21        --------        d-----w        c:\programme\Mumble
2009-05-11 12:29 . 2008-01-17 14:33        --------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2009-05-11 01:07 . 2009-05-11 01:08        2198528        ----a-w        c:\windows\Internet Logs\xDB9.tmp
2009-05-11 01:07 . 2009-05-11 01:08        409600        ----a-w        c:\windows\Internet Logs\xDB8.tmp
2009-05-11 00:54 . 2008-01-17 17:25        --------        d-----w        c:\programme\MAGIX
2009-05-11 00:27 . 2008-07-01 18:45        --------        d-----w        c:\programme\ICQToolbar
2009-04-10 00:40 . 2009-04-10 00:40        103744        ----a-w        c:\windows\system32\drivers\AnyDVD.sys
2009-04-08 15:40 . 2009-04-08 15:41        24064        ----a-w        c:\windows\Internet Logs\xDB7.tmp
2009-04-06 20:44 . 2009-04-06 20:52        924160        ----a-w        c:\windows\Internet Logs\xDB6.tmp
2009-04-01 18:11 . 2009-04-01 18:11        --------        d-----r        c:\programme\Skype
2009-03-30 19:49 . 2008-01-16 18:49        --------        d-----w        c:\programme\ICQLite
2009-03-28 12:08 . 2008-04-14 04:13        6762649        ----a-w        c:\windows\Internet Logs\tvDebug.zip
2009-03-06 14:19 . 2006-02-28 12:00        286720        ----a-w        c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00        826368        ----a-w        c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00        78336        ----a-w        c:\windows\system32\ieencode.dll
2009-02-17 17:11 . 2009-02-17 17:11        24232        ----a-w        c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 . 2009-02-17 13:33        89256        ----a-w        c:\windows\system32\ElbyCDIO.dll
2008-01-17 15:42 . 2008-01-17 14:48        48        --sh--w        c:\windows\S22198A47.tmp
.

(((((((((((((((((((((((((((((  SnapShot@2009-05-12_12.36.09  )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-02-28 12:00 . 2009-05-13 16:28        73148              c:\windows\system32\perfc009.dat
+ 2006-02-28 12:00 . 2009-05-13 16:28        444536              c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-07-13 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"ThreatFire"="c:\programme\ThreatFire\TFTray.exe" [2009-03-03 263440]
"@OnlineArmor GUI"="c:\programme\Tall Emu\Online Armor\oaui.exe" [2009-04-28 2052296]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-11-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2007-11-12 19968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys --> c:\windows\system32\drivers\pxscan.sys [?]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys --> c:\windows\system32\drivers\pxsec.sys [?]
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [13.05.2009 14:50 51472]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [13.05.2009 14:50 39184]
R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [13.05.2009 17:27 198224]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [13.05.2009 17:27 31824]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [13.05.2009 17:27 29776]
R2 OAcat;Online Armor Helper Service;c:\programme\Tall Emu\Online Armor\oacat.exe [13.05.2009 17:27 361672]
R2 ThreatFire;ThreatFire;c:\programme\ThreatFire\TFService.exe service --> c:\programme\ThreatFire\TFService.exe service [?]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [13.05.2009 14:50 33040]
S2 SvcOnlineArmor;Online Armor;c:\programme\Tall Emu\Online Armor\oasrv.exe [13.05.2009 17:27 3264200]
S3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [08.05.2008 15:29 20216]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2008 18:26 1527900]
S3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [16.01.2008 20:08 11372]
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CSISCANNER
*NewlyCreated* - MBAMSWISSARMY
*NewlyCreated* - MCHINJDRV
*NewlyCreated* - OACAT
*NewlyCreated* - OADEVICE
*NewlyCreated* - OAMON
*NewlyCreated* - OANET
*NewlyCreated* - PXSCAN
*NewlyCreated* - PXSEC
*NewlyCreated* - SVCONLINEARMOR
*NewlyCreated* - TFFSMON
*NewlyCreated* - TFNETMON
*NewlyCreated* - TFSYSMON
*NewlyCreated* - THREATFIRE
*Deregistered* - CSIScanner
*Deregistered* - MBAMSwissArmy
*Deregistered* - mchInjDrv
.
Inhalt des "geplante Tasks" Ordners

2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-05-13 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-08 02:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-13 17:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(692)
c:\programme\ThreatFire\TFWAH.dll
c:\programme\ThreatFire\TFNI.dll

- - - - - - - > 'lsass.exe'(748)
c:\programme\ThreatFire\TFWAH.dll

- - - - - - - > 'explorer.exe'(2156)
c:\programme\ThreatFire\TFWAH.dll
.
Zeit der Fertigstellung: 2009-05-13 17:53
ComboFix-quarantined-files.txt  2009-05-13 16:53
ComboFix2.txt  2009-05-12 12:37

Vor Suchlauf: 14 Verzeichnis(se), 32.353.001.472 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 32.343.789.568 Bytes frei

195        --- E O F ---        2009-04-15 21:55


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:40 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131