Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: bin ich clean?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.10.2007, 14:44   #1
neugi
 
bin ich clean? - Standard

bin ich clean?



Hi,

hatte auf diesem rechner einen befall mit einigen trojanern. hab jetzt mal einen clean gemacht und wollte wissen ob ich jetzt sauber bin oder nicht. wenn nicht welche tools noch anzuwennden sind.

Zitat:
[Y] Logfile of HijackThis v1.99.1 - Ihre Version sollte aktuell sein.
[WIN98] Platform: Windows 2000 SP4 (WinNT 5.00.2195) -
[Y] MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) - Ihre Version sollte aktuell sein.
[Y] C:\WINNT\System32\smss.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\system32\winlogon.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\system32\services.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\system32\lsass.exe - Systemprozess
[Y] C:\WINNT\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\system32\spoolsv.exe - Systemprozess
[AVSCAN] C:\Programme\Avira\AntiVir Server\avguard.exe - Part of AntiVir
[Y] C:\WINNT\system32\Dfssvc.exe -
[Y] C:\WINNT\System32\svchost.exe - Systemprozess - Allgemeiner Hostprozessname für Dienste.
[Y] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe - F-PROT Antivirus
[?] C:\WINNT\system32\KHKSManS.exe - Dies ist ein unbekannter Prozess.
[Y] C:\WINNT\System32\llssrv.exe - Lizenz-Verwaltung unter Windows NT
[Y] C:\WINNT\System32\tcpsvcs.exe - TCP/IP Services
[Y] C:\WINNT\System32\sfmsvc.exe -
[Y] C:\WINNT\System32\sfmprint.exe - MacPrint Service
[Y] C:\PROGRA~1\MSSQL\binn\sqlservr.exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\.*micros.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Microsoft SQL Server
[Y] C:\WINNT\system32\ntfrs.exe -
[Y] C:\WINNT\System32\nvsvc32.exe - Nicht gefährlich aber unnötig. NVIDIA graphics card driver
[Y] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\System32\locator.exe - RPC Locator
[Y] C:\Programme\TapeWare\TWWINSDR.EXE -
[Y] C:\WINNT\System32\svchost.exe - Systemprozess - Allgemeiner Hostprozessname für Dienste.
[Y] C:\WINNT\System32\WBEM\WinMgmt.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\TightVNC\WinVNC.exe - Win VNC
[Y] C:\WINNT\system32\svchost.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\WINNT\System32\inetsrv\inetinfo.exe - Used by MS Internet Information Server (IIS).
[Y] C:\WINNT\System32\ismserv.exe -
[Y] C:\WINNT\Explorer.EXE - Systemprozess für Desktop und Taskleiste.
[Y] C:\WINNT\Anvshell.exe - Asus Video Cards
[Y] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe - Hewlett Packard Software Update
[Y] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe - Part of Hewlett Packard
[Y] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe - F-Prot Antivirus Tray Icon
[Y] C:\WINNT\system32\internat.exe - Systemprozess - Application that provides multi-language support on keyboards for Microsoft Windows programs.
[Y] C:\WINNT\system32\RUNDLL32.EXE - RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.
[Y] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - Nicht gefährlich aber unnötig. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\****************\****************.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Programme\MSSQL\Binn\sqlmangr.exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\microsoft sql server\80\tools\binn\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
[Y] C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE -
[Y] C:\WINNT\System32\svchost.exe - Systemprozess - Allgemeiner Hostprozessname für Dienste.
[Y] C:\WINNT\system32\taskmgr.exe - Task Manager von Windows.
[Y] C:\Programme\Mozilla Firefox\firefox.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] C:\Dokumente und Einstellungen\Administrator\Desktop\PROCEXP.EXE - Syinternals Process-Explorer
[?] C:\Programme\FreeDNS Update\FreeDNSUpdate.exe - Dies ist ein unbekannter Prozess.
[?] C:\Programme\FreeDNS Update\FDNSUSVC.exe - Dies ist ein unbekannter Prozess.
[Y] C:\WINNT\system32\cleanmgr.exe - Windows Cleanmanager
[Y] C:\Programme\Internet Explorer\IEXPLORE.EXE - Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
[Y] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.734\HijackThis.exe - Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm - Diese Seite wurde als gut identifiziert!
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm - Diese Seite wurde als gut identifiziert!
[Y] O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - AcroIEhelper.ocx, AcroIEhelper.dll - Adobe Acrobat reader, h**p://www.adobe.com/products/acrobat/re adstep2.html
[Y] O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - SDhelper.dll - Spybot - Search & Destroy, h**p://spybot.eon.net.au/
[Y] O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll - pxbho.dll - Prevx, h**p://netsecurity.about.com/gi/dynamic/ offsite.htm?zi=1/XJ&sdn=netsecurity&zu=h ttp%3A%2F%2Fwww.prevx.com%2Fprevxhome.as p Malicious Scripts Scanner
[Y] O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx - msdxm.ocx - Internet Explorer Radio Bar
[Y] O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe - System Tray tool for ASUS video cards. If disabled you lose all the ASUS specific video card options in Control Panel -> Display Properties -> Advanced as well as the System Tray shortcuts toolbar
[Y] O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup - Nicht bekanntes Programm.
[Y] O4 - HKLM\..\Run: [nwiz] nwiz.exe /install - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe - Part of Hewlett-Packard Deskjet
[Y] O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe - Nicht gefährlich aber unnötig. HP software updates. If a shortcut doesn't exist
[Y] O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe - Detection of new imaging, printing and other peripherals on HP machines such as USB printers, cameras and Bluetooth products
[Y] O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper - WinVNC is an application that allows you to remote control your PC from another PC somewhere on the internet
[Y] O4 - HKLM\..\Run: [Messanger 7] C:\WINNT\system32\msgs7.exe - Fuzzy Algorithmusprüfung (4.11 / 5.00), Sicher
[Y] O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe - Fuzzy Algorithmusprüfung (4.13 / 5.00), Sicher
[Y] O4 - HKLM\..\Run: [Microsoft Update] C:\WINNT\system32\mdm.exe - Fuzzy Algorithmusprüfung (3.89 / 5.00), Sicher
[Y] O4 - HKCU\..\Run: [internat.exe] internat.exe - Nicht gefährlich aber unnötig. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit - Part of NVidia
[Y] O4 - HKCU\..\Run: [Messanger 7] C:\WINNT\system32\msgs7.exe - Fuzzy Algorithmusprüfung (4.11 / 5.00), Sicher
[Y] O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe - Anti Spyware Tool
[Y] O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\MSSQL\Binn\sqlmangr.exe - Nicht gefährlich aber unnötig. SQL Server Service Manager - provides tray access to SQL server, the server agent and MSDTC. Available via Start -> Programs
[Y] O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE -
[Y] O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE - Nicht gefährlich aber unnötig. Offers a virtual printer as a fax machine. Can be run via a desktop shortcut
[Y] O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present - Fixen, wenn nicht bewusst herbeigeführt! Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - Fuzzy Algorithmusprüfung (4.43 / 5.00), Sicher
[Y] O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - Fuzzy Algorithmusprüfung (4.43 / 5.00), Sicher
[Y] O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll - Die meisten Einträge in diesem Abschnitt sind sicher. Nur OnFlow fügt hier ein unerwünschtes Plugin ein. OnFlow-Plugins haben die Erweiterung *.ofb.
[Y] O14 - IERESET.INF: START_PAGE_URL=h**p://www.sagekhk.de - Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des 'Internet-Service-Provider (ISP)', sollten diese Einträge mit HijackThis gefixt werden.
[Y] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/...b?1191222766906 - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - h**p://inquiero.itcompany.at/inquiero/mod/...tivex118_24.cab - Dieser Eintrag wurde als gut identifiziert!
[?] O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = www.Riedl.at - Kennen Sie die IP oder die Domäne 'www.Riedl.at' nicht, fixen.
[?] O17 - HKLM\System\CCS\Services\Tcpip\..\{6A4725D5-D064-449A-944C-0A574D998999}: NameServer = 195.3.96.67 195.3.96.68 - Kennen Sie die IP oder die Domäne '195.3.96.67 195.3.96.68' nicht, fixen.
[Y] O17 - HKLM\System\CCS\Services\Tcpip\..\{86E8191B-6027-464D-81E4-B19D140EA068}: NameServer = 127.0.0.1 - Die Eingegebene IP oder Domäne '127.0.0.1' wurde als gut identifiziert.
[Y] O17 - HKLM\System\CCS\Services\Tcpip\..\{ABAE2990-D265-47A6-B526-19B63B722DE4}: NameServer = 127.0.0.1 - Die Eingegebene IP oder Domäne '127.0.0.1' wurde als gut identifiziert.
[?] O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = www.Riedl.at - Kennen Sie die IP oder die Domäne 'www.Riedl.at' nicht, fixen.
[?] O17 - HKLM\System\CS1\Services\Tcpip\..\{6A4725D5-D064-449A-944C-0A574D998999}: NameServer = 195.3.96.67 195.3.96.68 - Kennen Sie die IP oder die Domäne '195.3.96.67 195.3.96.68' nicht, fixen.
[?] O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = www.Riedl.at - Kennen Sie die IP oder die Domäne 'www.Riedl.at' nicht, fixen.
[Y] O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll - Part of Super Antispyware
[?] O20 - Winlogon Notify: ssqponm - C:\WINNT\ -
[Y] O23 - Service: Avira AntiVir Downloader (AntiVirDownloader) - Avira GmbH - C:\Programme\Avira\AntiVir Server\dwldsvc.exe - Fuzzy Algorithmusprüfung (4.51 / 5.00), Sicher
[AVSCAN] O23 - Service: Avira AntiVir Server (AntiVirService) - AVIRA GmbH - C:\Programme\Avira\AntiVir Server\avguard.exe - Dieser Dienst (avguard.exe) wurde als gut identifiziert.
[Y] O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe - Dieser Dienst (dmadmin.exe) wurde als gut identifiziert.
[Y] O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe - Dieser Dienst (FPAVServer.exe) wurde als gut identifiziert.
[?] O23 - Service: FreeDNS Update (FreeDNSUpdate) - TechKnow Professional Services - C:\Programme\FreeDNS Update\FDNSUSVC.exe - Unbekannter Dienst. (FDNSUSVC.exe)
[?] O23 - Service: Sage Mehrbenutzerdienst (KHK Office Line Dienst) - Sage KHK Software - C:\WINNT\system32\KHKSManS.exe - Unbekannter Dienst. (KHKSManS.exe)
[Y] O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe - Dieser Dienst (nvsvc32.exe) wurde als gut identifiziert.
[Y] O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe - Dieser Dienst (PXAgent.exe) wurde als gut identifiziert.
[Y] O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe - Dieser Dienst (Registry.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O23 - Service: TapeWare - Unknown owner - C:\Programme\TapeWare\TWWINSDR.EXE - Dieser Dienst (TWWINSDR.EXE) wurde als gut identifiziert.
[Y] O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing) - Dieser Dienst (WinVNC.exe) wurde als gut identifiziert.
[?] O23 - Service: Windows Management Service (wms) - Unknown owner - C:\WINNT\system32\wms.exe (file missing) - Unbekannter Dienst. (wms.exe)
danke im voraus.

gruz

Alt 11.10.2007, 15:31   #2
Cleriker
 
bin ich clean? - Standard

bin ich clean?



Hi und Herzlich Willkommen im Trojaner-Board

was auch immer das für ein halbautomatisches Log ist, es lässt
sich sehr umständlich lesen, mach bitte folgende Scans, ich denke
bei dir muss noch was getan werden:

* HijackThis - Scan
1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final
2. Entpacke es in einen seperaten Ordner und benenne es um
(z.b. C:\Programme\HijackThis\pruefung.com)
3. Führe die Datei aus und bestätige die Warnung mit "ok"
4. Wähle die Option "Do a System Scan and save a logfile"
5. poste den kompletten Inhalt des entstehenden LogFiles
6. Entferne persönliche Informationen sowie aktive Links

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)

mfg Cleriker
__________________


Alt 11.10.2007, 15:41   #3
neugi
 
bin ich clean? - Standard

bin ich clean?



Hi,

werde die scans durchführen.

wegen dem log, das ist das log aus dem HijackThis 1.9

gruz
__________________

Alt 12.10.2007, 09:47   #4
neugi
 
bin ich clean? - Standard

bin ich clean?



morgen,

hier mal der auszug aus dem silentrunner script

Zitat:
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"Messanger 7" = "C:\WINNT\system32\msgs7.exe" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"****************" = "C:\Programme\****************\****************.exe" ["****************.com"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Anvshell" = "C:\WINNT\Anvshell.exe" ["AsusTeK Computer Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"HPDJ Taskbar Utility" = "C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]
"HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data]
"DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"WinVNC" = ""C:\Programme\TightVNC\WinVNC.exe" -servicehelper" ["TightVNC Group"]
"Messanger 7" = "C:\WINNT\system32\msgs7.exe" [file not found]
"F-PROT Antivirus Tray application" = "C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" ["FRISK Software"]
"Microsoft Update" = "C:\WINNT\system32\mdm.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}\(Default) = "Malicious Scripts Scanner"
-> {HKLM...CLSID} = "URLDetector Class"
\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll" ["Prevx Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRAMME\ACCESSRT2002\OFFICE10\msohev.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {HKLM...CLSID} = "Microsoft Office Binder Unbind"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\1031\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1521B9F2-9B58-4c31-8745-BB8C5D20BDB5}" = "FRISK extension"
-> {HKLM...CLSID} = "FRISKShellExt Class"
\InProcServer32\(Default) = "C:\Programme\FRISK Software\F-PROT Antivirus for Windows\shellext.dll" ["FRISK Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided)
-> {HKLM...CLSID} = "SABShellExecuteHook Class"
\InProcServer32\(Default) = "C:\Programme\****************\SASSEH.DLL" ["SuperAdBlocker.com"]

HKLM\System\CurrentControlSet\Control\SecurityProviders\
<<!>> ("pwdssp.dll" [MS]) "SecurityProviders" = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, pwdssp.dll"

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"DfsInit" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> !SASWinLogon\DLLName = "C:\Programme\****************\SASWINLO.dll" ["****************.com"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
F-PROT Antivirus\(Default) = "{1521B9F2-9B58-4c31-8745-BB8C5D20BDB5}"
-> {HKLM...CLSID} = "FRISKShellExt Class"
\InProcServer32\(Default) = "C:\Programme\FRISK Software\F-PROT Antivirus for Windows\shellext.dll" ["FRISK Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
F-PROT Antivirus\(Default) = "{1521B9F2-9B58-4c31-8745-BB8C5D20BDB5}"
-> {HKLM...CLSID} = "FRISKShellExt Class"
\InProcServer32\(Default) = "C:\Programme\FRISK Software\F-PROT Antivirus for Windows\shellext.dll" ["FRISK Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Default executables:
--------------------

<<!>> HKLM\Software\Classes\htafile\shell\open\command\(Default) = "C:\WINDOWS\system32\mshta.exe "%1" %*" [file not found]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ShowSuperHidden" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\

"NoBrowserOptions" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|Windows Components|Internet Explorer|Browser Menus|
Tools menu: Disable Internet Options... menu option}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"disablecad" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Dienst-Manager" -> shortcut to: "C:\Programme\MSSQL\Binn\sqlmangr.exe /n" [null data]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"Symantec Fax Starter Edition-Anschluss" -> shortcut to: "C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE" [MS]


Enabled Scheduled Tasks:
------------------------

"Spybot - Search & Destroy - Scheduled Task" -> launches: "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe /AUTOCHECK /AUTOFIX" ["Safer Networking Limited"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]


Miscellaneous IE Hijack Points
------------------------------

C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.sagekhk.de

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Avira AntiVir Server, AntiVirService, "C:\Programme\Avira\AntiVir Server\avguard.exe" ["AVIRA GmbH"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
Dateireplikationsdienst, NtFrs, "C:\WINNT\system32\ntfrs.exe" [MS]
Dateiserver für Macintosh, MacFile, "C:\WINNT\System32\sfmsvc.exe" [MS]
F-PROT Antivirus for Windows system, FPAVServer, "C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe" ["FRISK Software"]
FreeDNS Update, FreeDNSUpdate, "C:\Programme\FreeDNS Update\FDNSUSVC.exe -start -sname=FreeDNSUpdate" ["TechKnow Professional Services"]
Intelligenter Hintergrundübertragungsdienst, BITS, "C:\WINNT\System32\svchost.exe -k BITSgroup" {"C:\WINDOWS\system32\qmgr.dll" [file not found]}
Kerberos-Schlüsselverteilungscenter, kdc, "C:\WINNT\System32\lsass.exe" [MS]
MSSQLServer, MSSQLServer, "C:\PROGRA~1\MSSQL\binn\sqlservr.exe" [null data]
NVIDIA Driver Helper Service, NVSvc, "C:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Sage Mehrbenutzerdienst, KHK Office Line Dienst, "C:\WINNT\system32\KHKSManS.exe" ["Sage KHK Software"]
Sage Registrierungsdienst, Registry, "C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe" ["Sage KHK Software"]
SFM-Druck-Server, MacPrint, "C:\WINNT\System32\sfmprint.exe" [MS]
Standortübergreifender Meldungsdienst, IsmServ, "C:\WINNT\System32\ismserv.exe" [MS]
TapeWare, TapeWare, "C:\Programme\TapeWare\TWWINSDR.EXE" [null data]
TCP/IP-Druckserver, LPDSVC, "C:\WINNT\System32\tcpsvcs.exe" [MS]
VNC Server, winvnc, ""C:\Programme\TightVNC\WinVNC.exe" -service" ["TightVNC Group"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
AppleTalk-Drucker\Driver = "sfmmon.dll" [MS]
hpzlnt08\Driver = "hpzlnt08.dll" ["HP"]
LPR Port\Driver = "lprmon.dll" [MS]
OLFax Ports\Driver = "OLFMNT40.DLL" [MS]


---------- (launch time: 2007-10-12 09:49:43)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 36 seconds, including 4 seconds for message boxes)

Alt 12.10.2007, 09:52   #5
neugi
 
bin ich clean? - Standard

bin ich clean?



hier das HijackThis log

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:56, on 2007-10-12
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Server\avguard.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\WINNT\system32\KHKSManS.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\sfmsvc.exe
C:\WINNT\System32\sfmprint.exe
C:\PROGRA~1\MSSQL\binn\sqlservr.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
C:\WINNT\System32\locator.exe
C:\Programme\TapeWare\TWWINSDR.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Anvshell.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\****************\****************.exe
C:\Programme\MSSQL\Binn\sqlmangr.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\FreeDNS Update\FreeDNSUpdate.exe
C:\Programme\FreeDNS Update\FDNSUSVC.exe
C:\WINNT\system32\mmc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\mmc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis\pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Messanger 7] C:\WINNT\system32\msgs7.exe
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [Microsoft Update] C:\WINNT\system32\mdm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Messanger 7] C:\WINNT\system32\msgs7.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Office Monitor] C:\WINNT\system32\alg32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Messanger 7] C:\WINNT\system32\msgs7.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Network Security XP] C:\WINNT\system32\nvsvc86.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Intec Service Drivers] C:\WINNT\system32\wing32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Update] C:\WINNT\system32\mdm.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\MSSQL\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sagekhk.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191222766906
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://inquiero.itcompany.at/inquiero/mod/setup/ntractivex118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = www.Riedl.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A4725D5-D064-449A-944C-0A574D998999}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E8191B-6027-464D-81E4-B19D140EA068}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABAE2990-D265-47A6-B526-19B63B722DE4}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = www.Riedl.at
O17 - HKLM\System\CS1\Services\Tcpip\..\{6A4725D5-D064-449A-944C-0A574D998999}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = www.Riedl.at
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll
O20 - Winlogon Notify: ssqponm - C:\WINNT\
O23 - Service: Avira AntiVir Downloader (AntiVirDownloader) - Avira GmbH - C:\Programme\Avira\AntiVir Server\dwldsvc.exe
O23 - Service: Avira AntiVir Server (AntiVirService) - AVIRA GmbH - C:\Programme\Avira\AntiVir Server\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: FreeDNS Update (FreeDNSUpdate) - TechKnow Professional Services - C:\Programme\FreeDNS Update\FDNSUSVC.exe
O23 - Service: Sage Mehrbenutzerdienst (KHK Office Line Dienst) - Sage KHK Software - C:\WINNT\system32\KHKSManS.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe
O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
O23 - Service: TapeWare - Unknown owner - C:\Programme\TapeWare\TWWINSDR.EXE
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Programme\TightVNC\WinVNC.exe
O23 - Service: Windows Management Service (wms) - Unknown owner - C:\WINNT\system32\wms.exe (file missing)

--
End of file - 7912 bytes


Alt 12.10.2007, 12:57   #6
Cleriker
 
bin ich clean? - Standard

bin ich clean?



Hi,

Obwohl 2 Einträge fehlen, denke ich mal, du hast folgenden Schädling
-> Troj/Diazom-B

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch
Zitat:
C:\WINNT\system32\msgs7.exe
8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

- den escan bitte auch noch anschließen

mfg Cleriker

Antwort

Themen zu bin ich clean?
1.exe, acroiehelper.dll, antivir, antivirus, application, avira, bho, browser, desktop, downloader, drivers, firefox, firefox.exe, handel, hewlett packard, hijack, hijackthis, iexplore.exe, internet, internet explorer, logfile, logon.exe, mozilla, mozilla firefox, mssql, remote control, rundll, server, software, spyware, super, svchost.exe, symantec, system, taskmgr.exe, tcp/ip, trojaner, usb, windows, windows system, \system32\services.exe



Ähnliche Themen: bin ich clean?


  1. Win 7: Ist der PC Clean?
    Log-Analyse und Auswertung - 22.12.2014 (7)
  2. Reg Clean Pro entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.12.2014 (3)
  3. clean this
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (3)
  4. Bin ich clean?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2009 (0)
  5. bin ich clean
    Log-Analyse und Auswertung - 03.06.2009 (19)
  6. Logfile clean?
    Mülltonne - 03.11.2008 (2)
  7. Bin ich clean?
    Mülltonne - 20.08.2008 (0)
  8. clean?
    Mülltonne - 19.08.2008 (0)
  9. ist der PC clean?
    Mülltonne - 06.11.2007 (1)
  10. Ist nun alles clean??
    Log-Analyse und Auswertung - 17.09.2007 (20)
  11. clean oder nicht-clean????
    Log-Analyse und Auswertung - 17.09.2007 (5)
  12. Bin ich clean?
    Plagegeister aller Art und deren Bekämpfung - 13.07.2007 (2)
  13. PC clean?
    Mülltonne - 10.02.2007 (1)
  14. Clean ? :)
    Mülltonne - 24.08.2006 (1)
  15. clean.kmd
    Alles rund um Windows - 04.07.2005 (7)
  16. is der log clean?!
    Log-Analyse und Auswertung - 12.05.2005 (3)

Zum Thema bin ich clean? - Hi, hatte auf diesem rechner einen befall mit einigen trojanern. hab jetzt mal einen clean gemacht und wollte wissen ob ich jetzt sauber bin oder nicht. wenn nicht welche tools - bin ich clean?...
Archiv
Du betrachtest: bin ich clean? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.