Trojaner gefunden, aber Rechner verhält sich unauffällig

Pooka · 29.09.2007, 22:12

Hallo zusammen,

da dies mein erster Beitrag ist (dem hoffentlich nicht allzu oft neue folgen werden ;-)), eine kurze Vorstellung: Ich gehöre zu diesen seltsamen Leuten, die sich mit technischen Problemen (sehr selten) an Foren oder Boards wenden, selbst aber nur Beiträge zu Themen schreiben, von denen sie halbwegs etwas verstehen -- viel werdet ihr im Trojaner-Board also nicht von mir lesen...

Zu meinem Problem:

Letzte Woche haben meine Eltern auf ihrem Internetrechner versehentlich den IE anstelle des MF genutzt und sich vermutlich dabei etwas gefangen: AVG Free und avast! Free haben jeweils einen JS-Trojaner gefunden, die ich bei meinem Besuch heute manuell (AVG) bzw. durch avast! gelöscht habe (beide in den IE-Temp-Files, beide Tools können auch nach einem Reboot nichts mehr finden). Im Anschluß konnte AVG Anti-Rootkit keine Bedrohung finden (mit Standerd- und InDepth-Suche), Spybot Search&Destroy hat eine Adware und einen Keylogger gefunden und erfolgreich entfernt. Der Rechner verhält sich völlig normal. Ein paar aktive Dateien habe ich auch erfolglos durch VirusTotal gejagt.

In diesem Forum habe ich gelesen, dass die einfaches löschen oder "heilen" der Schadprogramme nicht unbedingt ausreichen muss, und mich schlau gemacht, was unter "kompromittiert" zu verstehen ist. avast! scheint leider keine Logdatei erzeugt zu haben, die Datei wurde beim Bootscan gefunden und auf meine Anweisung hin gleich gelöscht. Ich weiß daher nicht mehr, um welchen Trojaner es es sich gehandelt hat, es war eine "js/weißdennamennichtmehr" family. Der von AVG erkannte Schädling wurde als js/psyme erkannt. AVG meldet auch, dass kernel32.dll, user32.dll, shell32.dll und ntoskrnl.dll geändert wurden.

Heute habe ich von den Benutzerkonten gleich die Adminrechte entfernt (etwas spät, ich weiß...), dem IE sämtliche ActiveX-Rechte deaktiviert und ihn gut versteckt, morgen werden alle Passwörter geändert (da gibt es eigentlich nichts sicherheitskritisches...). Gibt es noch etwas, was ich unbedingt tun sollte?

Über konstruktive Hinweise würde ich mich sehr freuen. Ist unter den gegebenen Bedingungen ein Neuaufsetzen wirklich notwendig, oder reicht eine bescheidenere Lösung?

Logfile of HijackThis v1.99.1
Scan saved at 22:25:26, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\1175975069\ee\aolsoftware.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\*NAME*\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe"

-Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1175975069\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

c:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file

missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file

missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project -

C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google

Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

Coffee Fan · 30.09.2007, 11:39

Hallo Pooka

>>“In diesem Forum habe ich gelesen, dass die einfaches löschen oder "heilen" der Schadprogramme nicht unbedingt ausreichen muss, und mich schlau gemacht, was unter "kompromittiert" zu verstehen ist.“<<<<

>>“Der von AVG erkannte Schädling wurde als js/psyme erkannt. AVG meldet auch, dass kernel32.dll, user32.dll, shell32.dll und ntoskrnl.dll geändert wurden.“<<<<:aplaus:

Wenn Du dich „schlau“ gemacht hast , solltest Du wissen was das für dein System bedeutet

>>>“Heute habe ich von den Benutzerkonten gleich die Adminrechte entfernt (etwas spät, ich weiß...)“<<<<<<

Aha, alle Benutzerkonten hatten also Adminrechte

...nach der Verseuchung hast Du dann die Rechte geändert !?

>>“.....morgen werden alle Passwörter geändert (da gibt es eigentlich nichts sicherheitskritisches...)“<<<

Von dem , bzw für das , vermutlich verseuchten System , möchtest Du nun neue Passwörter vergeben ? !!

>>“Gibt es noch etwas, was ich unbedingt tun sollte? „<<<

JA!! Es gibt noch etwas das Du tun solltest :-)

Das hier mal Lesen

http://www.trojaner-board.de/12154-a...sicherung.html
Gruß Coffee Fan

Pooka · 30.09.2007, 12:49

Hallo CoffeeFan,

vielen Dank für Deine Antwort. Mir ist durchaus bewußt, dass nach einer Infektion mein Rechner kompromittiert und damit grundsätzlich nicht mehr sicher ist. Deinen Zitaten aus meinem Beitrag entnehme ich auch, dass die Wahrscheinlichkeit, einen Backdoortrojaner gefangen zu haben, der immer wieder versuchen wird, Unfug zu treiben, recht groß ist.

Mein Gedanke ist folgender: Ist diese Bedrohung in meinem Fall eine theoretische "Grundsätzlich wäre es denkbar, dass etwas passiert, in der Praxis ist sowas aber noch nicht vorgekommen", oder ist das eine reale Bedrohung? Immerhin habe ich in einem Link auch gelesen, "Ich als erfahrener Admin würde mich unwohl fühlen, auch wenn ein Virenkit den Trojaner "geheilt" hat. Ich bewege mich eher zwischen DAU und Ottonormaluser...

Auf dem Rechner selbst sind keine geheimen oder privaten Daten (außer ein paar harmlosen Urlaubsschnappschüssen meiner Eltern), die einzigen Passwörter, die ich ändern würde, wären die der GMX-Accounts meiner Eltern (Outlook o. ä. nutzen sie nicht). Auf dem Rechner selbst gibt es keine Passwörter, und andere Internetaccounts nutzen meine Eltern nicht.

Ich würde gerne das System noch ein, zwei Wochen beobachten. Falls es sich dann herausstellt, dass der Rechner versucht, irgendwelche Trojaner nachzuladen, würde ich das System neu aufsetzen. Falls nicht, würde ich nur die Sicherheitseinstellungen hochschrauben und das System als geheilt betrachten.

Falls ihr als Experten mir von diesem Vorgehen abratet, setze ich den Rechner neu auf, es gibt eine halbwegs aktuelle Sicherung, und der Mensch wird ja bekanntlich aus Schaden klug. Ich will ja nicht, dass der Rechner zum Spamversender wird oder sonstwie bösen Buben von Nutzen sein kann. Ich habe nur die Befürchtung, dass ihr als Sicherheitsexperten die Sicherheitslatte sehr, sehr hoch legt -- daher meine Frage, ob die Bedrohung eher theoretischer oder eher praktischer Natur ist, und ob ein "Beobachten" des Systems sinnvoll ist. Ich würde dann meine Eltern anweisen, alle erkannten Bedrohungen ins Vault zu verschieben, die Meldung zusätzlich auf einem Zwettel zu notieren und meinen nächsten Besuch abzuwarten...

myrtille · 30.09.2007, 13:21

Ich kann meine Klappe einfach nicht halten.

Es geht bei Backdoortrojanern nicht um deine Daten, würde es tatsächlich nur darum gehen, dann wäre die Entscheidung tatsächlich dir überlassen.
Die meisten Backdoorschreiber wollen aber gar nicht an dein Benutzernamen oder dein Passwort (oder zb auch die Keys von deinen Windows/Adobe/etc-Versionen). Die wollen meistens einen Rechner mit dem sie dann die Webauftritte angreifen können oder Spam versenden können. Die wollen Geld machen.
Castlecops bekommt derzeit zb. 1.000.000.000 (sinnlose) Zugriffe pro Sekunde von solchen Rechnerleichen. Das soll dazu führen, dass die Seite für andere Leute nicht mehr erreichbar ist. In diesem Jahr haben schon zahlreichen Webseiten zugemacht, weil sie diesen Angriffen nicht standhalten konnten. Zuletzt FraudWatchers.org.

Mit einem infizierten Rechner schadest du also nicht nur dir selbst sondern eigentlich allen. Den Entwicklern von Sicherheitssoftware, die sie nicht vertreiben können, den Helfern, die die Software nutzen wollen aber nicht können und den Befallenen, denen nicht mehr geholfen werden kann, weil die Programme nicht erreichbar sind.
Das Problem ist viel größer, als es auf den ersten Augenblick scheint.

Allerdings sehe ich derzeit keinen direkten Anhalt für Backdoortrojaner auf deinem Rechner. Reiche bitte alle gefunden Trojaner nach, insbesondere die befallenen Dateien für Keylogger von Spybot.
Dann bräuchte ich noch die genaue Meldung von AVG für die 3 veränderten Dateien, sowie die Auswertung der 3 Dateien bei Virustotal (das gesamte Ergebnis mit MD5 und SHA).
Außerdem bitte noch Logfiles der folgenden Tools:

- eScan
- Blacklight
- Silentrunners

Die Meldungen von AVG sind nicht besonders gefählrich:
Es handelt sich um klick. Solange der dazugehörigeTrojaner nicht runtergeladen und ausgeführt wurde, sind die Meldungen ungefährlich. Dafür wäre es allerdings wichtig, dass das System uptodate war und alle Sicherheitspatches zu dem Zeitpunkt eingespielt waren, da die Installationsroutine von Psyme Schwachstellen im IE (von 2004) ausnutzt.

Unabhängig von der Bereinigung/Neuinstallation solltest du eines der Antivirenprogramme von Bord schmeißen. Die Programme behindern sich gegenseitig und können, wenn sie sich in die Haare kriegen, Windows komplett zerstören. Der Hintergrundwächter von Spybot kann auch deaktiviert werden (sowie einige weitere Programme falls das erwünscht ist)

lg myrtille

Coffee Fan · 30.09.2007, 13:24

Hallo Pooka

>>“Auf dem Rechner selbst sind keine geheimen oder privaten Daten (außer ein paar harmlosen Urlaubsschnappschüssen meiner Eltern), die einzigen Passwörter, die ich ändern würde, wären die der GMX-Accounts meiner Eltern (Outlook o. ä. nutzen sie nicht). Auf dem Rechner selbst gibt es keine Passwörter, und andere Internetaccounts nutzen meine Eltern nicht.“<<<<

Was ist mit den Zugangs Daten z.B. deines Providers ? Wenn in diesem Augenblick jemand dein Postfach dazu benutzen würde , um andere zu zu Spammen , währe das nicht so schlimm ? .

>>“Ich würde gerne das System noch ein, zwei Wochen beobachten. Falls es sich dann herausstellt, dass der Rechner versucht, irgendwelche Trojaner nachzuladen, würde ich das System neu aufsetzen.“<<

Wie ?? würdest Du das denn bemerken ?

>>“Falls ihr als Experten „<<<

Ich bin KEIN Experte :-) ... ist nur ein Rat ...

Wenn Du dir unsicher bist , kannst Du einfach noch ein wenig warten , es wird sich bestimmt noch ein wirklicher Experte zu Wort melden . Der kann Dir evt . bei der Rettung deines Systems helfen ( Kompetenzteam ) Ich persönlich würde sagen , deine Eltern währen sicher besser beraten, wenn DU das System einmal nach der Anleitung ( Link ) ordentlich einrichten würdest. Welche bessere Gelegenheit könnte es dafür geben als Deine jetzige :-) .

http://www.trojaner-board.de/12154-a...sicherung.html

Gruß Coffee Fan

Pooka · 30.09.2007, 14:47

Hallo myrtille,

vielen Dank für Deine Antwort. Natürlich will ich nicht nur Schaden vom Rechner meiner Eltern abwenden, sondern auch bösen Buben keine Werkzeuge in die Hand geben. Bei DDOS-Attacken geht es ja afaik zum Teil auch um Erpressung, Plattmachen unerwünschter Konkurrenz oder die Unterdrückung von Opposition, und da möchte ich mich nicht zum Komplizen machen, auch nicht aus Nachlässigkeit. Sollte sich also zeigen, dass der Rechner noch befallen und eine "kleine" Lösung nicht zielführend ist, würde ich ein Neuaufsetzen durchführen.

Daher suche ich nach einer Möglichkeit, mit hoher, wenn auch nicht absoluter Sicherheit festzustellen, ob der Rechner derzeit eine Hintertür für böse Jungs offen hat. Falls sie diese nutzen sollten, etwas zum SPAM-Versand oder für DDOS-Attacken, gibt es ja sicherlich halbwegs zuverlässige Methoden, das festzustellen (Ich vermute, zumindest Spybot wird sich da melden)? Für Input dazu wäre ich dankbar.

Zu Deinen Fragen:
Windows XP war jederzeit aktuell, ich hatte "automatische Updates" eingestellt. Der IE war 6.0, da er auf meine Bitte hin _eigentlich_ nie genutzt wurde. Wieder etwas gelernt: Den hätte ich natürlich auch aktualisieren sollen...

Von AVG habe ich folgende Infos aus dem Logfile:
<rec time="2007/09/29 17:07:24" user="*Name*" source="Virus">
<value>@HL_ActionTakenFailed</value>
<attr name="filename">C:\Dokumente und Einstellungen\*Name*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXMZGTAV\index[8].htm</attr>
<attr name="type">@EID_Fi_vir</attr>
<attr name="what">JS/Psyme</attr>
</rec>
<rec time="2007/09/29 20:08:43" user="*Name*" source="General">
<value>@HL_TestEnded</value>
<attr name="testname">@TestName_02</attr>
<attr name="infectedfiles">1</attr>
</rec>

Die Datei habe ich im Anschluß manuell gelöscht. Von avast! existiert leider kein Logfile.

Spybot vermeldet:
Microsoft.Windows.Security.InternetExplorer
Einstellungen
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe
Sowie
Zlob.VideoActiveXAccess
Programm-Verzeichnis
C:\Programme\VideoActiveX Access
Und hat beide Programme erfolgreich gelöscht.

Die Ergebnisse von Virustotal:
kernel32.dll: 0/32 (0%)
File size: 1058304 bytes
MD5: 8eea8280a1e0e794edfccad3721c7cab
SHA1: fc0460baa69f17dabc752ef5995c98866062cfc2

user32.dll: 0/32 (0%)
File size: 579072 bytes
MD5: 492e166cfd26a50fb9160db536ff7d2b
SHA1: 8f63f79cf097750fdca0caa2f816d6b7587167c1

shell32.dll: 0/32 (0%)
File size: 8494592 bytes
MD5: bee716a2d0068a38c0de9b82113161f9
SHA1: e5f0e2663ea5a992910f3c475660e65a6aef5707

ntoskrnl.dll: 0/32 (0%)
File size: 2140160 bytes
MD5: fd51b755255e963b1e78b010b575fa7c
SHA1: 9248f50d0e2148f8353d93ff6887d42c540dbf18

Mit Logfiles meinst Du höchstwahrscheinlich die Auswertungen kompletter Systemchecks mit diesen Tools, nicht nur Checks für diese Dateien? Ich reiche die Logfiles noch nach.

Pooka · 30.09.2007, 15:06

Hallo Coffee Fan,

>> Was ist mit den Zugangs Daten z.B. deines Providers ? Wenn in diesem Augenblick jemand dein Postfach dazu benutzen würde , um andere zu zu Spammen , währe das nicht so schlimm ? .

Ein Provider-Postfach hat der Zugang nicht, auch kein Outlook oder ähnliches. Für Email wird ausschließlich das Webinterface von GMX verwendet. Spammen ist von diesem Rechner aus sicherlich nicht unmöglich, aber vermutlich eher unwahrscheinlich.

>>>>“Ich würde gerne das System noch ein, zwei Wochen beobachten. Falls es sich dann herausstellt, dass der Rechner versucht, irgendwelche Trojaner nachzuladen, würde ich das System neu aufsetzen.“<<

>>Wie ?? würdest Du das denn bemerken ?

Ich vermute, wenn es sich um automatisierte Routinen handelt, ist die Wahrscheinlichkeit hoch, dass virenscanner, Rootkit und Spybot gute Chancen haben. die Eindringlinge zu bemerken. Aber natürlich weiß ich das nicht, ich bin nunmal auch eher ein Gelegenheitscomputernutzer. Deshalb frage ich ja hier nach, ob das ein zielführendes Vorgehen ist oder nicht.

>>Wenn Du dir unsicher bist , kannst Du einfach noch ein wenig warten , es wird sich bestimmt noch ein wirklicher Experte zu Wort melden . Der kann Dir evt . bei der Rettung deines Systems helfen ( Kompetenzteam ) Ich persönlich würde sagen , deine Eltern währen sicher besser beraten, wenn DU das System einmal nach der Anleitung ( Link ) ordentlich einrichten würdest. Welche bessere Gelegenheit könnte es dafür geben als Deine jetzige :-) .

Ja, ich tendiere momentan tatsächlich zu dieser Lösung. Allerdings werde ich das heute ohnehn nicht mehr schaffen, von daher bietet sich das Abwarten zumindest als Zwischenlösung an ;-)

myrtille · 30.09.2007, 15:35

Hi,

Zitat:

Die Ergebnisse von Virustotal

die Prüfsummen der Dateien sind unbekannt, das ist im Endeffekt, dass was AVG auch schon gesagt hat. Allerdings ist es zumindest bei einer Datei ein Fehlalarm und bei 2 weiteren Dateien habe ich dieselben Prüfsummen auch schon gesehen, ohne dabei auf einen Befall zu schließen. Nur der ntoskrnl scheint in der Form komplett unbekannt zu sein.
Wer diese Dateien wieso wann (hast du das Datum zu dem die Meldungen das erste Mal auftraten?) verändert hat, kann ich allerdings nicht sagen, es könnte tatsächlich bösartiger Code eingeschleust worden sein. Sollte es jedoch keine weiteren Anzeichen auf Befall geben, halte ich das für wenig wahrscheinlich.

Zitat:

Mit Logfiles meinst Du höchstwahrscheinlich die Auswertungen kompletter Systemchecks mit diesen Tools, nicht nur Checks für diese Dateien? Ich reiche die Logfiles noch nach.

Ja, ich hätte gern die kompletten Logs.

Mal abgesehen von eScan sind es eh keine Virenscanner und würden daher auch keine Dateien einzeln prüfen.

Was das finden von Backdoors angeht, da gibt es natürlich Methoden:
Die meisten erkennt man schon im Hijackthislog, viele werden auch von Antivirenprogrammen gefunden. Diejenigen, die sich per Rootkit verstecken enttarnt man dann mit Rootkitscannern. Gelegentlich reicht es auch einfach nach bestimmten Dateien und Ordnern zu suchen.
Eine weitere Methode ist zu überprüfen welche Programme auf welchen Ports sich wohin ins Internet verbinden. Treten keine unbekannten Prozesse, seltenen Ports oder unseriöse Kontakte auf ist es wieder wahrscheinlicher, dass man nicht befallen ist.

All diese Methoden können aber ausgehebelt werden, weswegen wir nie 100%ige Garantie geben können, das ein Rechner wirklich sauber ist. Garantien vergeben wir eh nicht.

Wir tun was wir können, nicht mehr, nicht weniger.

Reiche bitte auch noch folgendes Log nach:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Zitat:

Microsoft.Windows.Security.InternetExplorer
Einstellungen
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe
Sowie
Zlob.VideoActiveXAccess
Programm-Verzeichnis
C:\Programme\VideoActiveX Access

Zitat:

Spybot Search&Destroy hat eine Adware und einen Keylogger gefunden und erfolgreich entfernt

Was wurde denn als Keylogger bezeichnet?

zlob?

Kannst du bitte bei folgender Meldung nochmal genauer nachschauen:

Zitat:

Microsoft.Windows.Security.InternetExplorer
Einstellungen
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe

ist das wirklich alles was da steht?
Es ist auf jedenfall eine unbedenkliche Meldung, Spybot ist mit den Sicherheitseinstellungen des IEs nicht glücklich -> Es kann gut sein, dass Zlob da am Werk war.

Mehr wenn die andern Logs da sind.

lg myrtille

Pooka · 30.09.2007, 19:19

Hallo myrille,

vielen Dank für die ausführliche Antwort. Hier spricht offensichtlich geballtes Fachwissen :-)

>> Ja, ich hätte gern die kompletten Logs.

Mal abgesehen von eScan sind es eh keine Virenscanner und würden daher auch keine Dateien einzeln prüfen.

Entschuldigung. Erst lesen, dann posten ist oft eine gute Idee -- ich dachte, alle Links gehen direkt auf die Webseiten der Anbieter. Im Link war ja alles genau beschrieben.

>>Was das finden von Backdoors angeht, [...]

Vielen Dank für die Info. Das hört sich eigentlich ganz positiv an.

>>All diese Methoden können aber ausgehebelt werden, weswegen wir nie 100%ige Garantie geben können, das ein Rechner wirklich sauber ist. Garantien vergeben wir eh nicht.

Wir tun was wir können, nicht mehr, nicht weniger.

Das versteht sich von selbst. Und die 99%-Chance hätte mir ja auch gereicht, aber...

eScan hat nach eigener Aussage 5 (!) Viren gefunden. So langsam wird mir doch sehr unwohl in meiner Haut. Ich komme mehr und mehr zum Schluß, dass ein Neuaufsetzen mit anschließend besserer Absicherung eine gute Idee ist.

>> Reiche bitte auch noch folgendes Log nach:

[...]

Ich fürchte fast, alles werde ich nicht mehr schaffen -- ich bin nur noch heute Abend bei meinen Eltern, danach würde ich sie gegebenenfalls um eine Woche Internetpause bitten und nächstes WoE nochmal vorbeischauen, um den Rechner neu aufzusetzen.

>>Was wurde denn als Keylogger bezeichnet?

zlob?

Kannst du bitte bei folgender Meldung nochmal genauer nachschauen:

[...]
Tja, so geht das, wenn Normalverbraucher (aka DAUs) sich an Interpretationen versuchen -- das steht genau so da, ich habe es dem Wortlaut nach für einen Keylogger gehalten. Bei genaurem Hinsehen ist das natürlich eine sehr gewagte Theorie ;-) Mein Fehler.

Den eScan-Log hänge ich noch an, vielleicht geschehen ja noch Zeichen und Wunder und es sind durch die Bank bekannte Fehlalarme. Falls das echte Übeltäter sind, ist nächstes WoE besser Neuaufsetzen angesagt, bevor sich ständig neue Übeltäter auf dem Rechner breitmachen...

Viele Grüße,
Pooka

Pooka · 30.09.2007, 19:22

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/30/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Nis2006\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\recover\Dokumente und Einstellungen\Besitzer\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\recover\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\recover\Nis2006\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\recover\WINDOWS\system32\config\systemprofile\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\*Name1*\Desktop\a2AntiMalwareSetup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\*Name1*\LOKALE~1\Temp\GLB35.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\*Name2*\Lokale Einstellungen\Temp\zpd1tukk.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\*Name1*\Desktop\a2AntiMalwareSetup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\*Name1*\Lokale Einstellungen\Temp\GLB35.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\*Name1*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A5GTEHOH\a2AntiMalwareSetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Gemeinsame Dateien\aol\System Information\sysres.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{EBF680A9-B419-4F81-B1EC-F9A85522B08E}\RP249\A0026290.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 147655
Gefundene Viren: 5
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 122
Dauer des Scans bisher: 02:27:23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:43:43,62
Batchende: 19:43:47,75

myrtille · 30.09.2007, 19:28

Hi,
nur ganz schnell:
Escan ist für seine vielen Fehlalarme bekannt, also erstmal nicht die Flinte ins Korn werfen: Die Möglichkeit des "Wunders" besteht schon.

Rufe bitte eine der desktop.ini Dateien mit einem Editor auf und poste den Inhalt hier.

Die anderen Programme Blacklight, Silentrunner, Smitfraudfix brauchen normalerweise ca. 30-60 Sekunden zum erstellen des Logs, damit du in etwa einschätzen kannst, wie lange du noch an dem Rechner sitzen brauchst.

lg myrtille

EDIT: Zlob scheint auch weg.

Da hat Spybot ganze Arbeit geleistet.

Pooka · 30.09.2007, 19:28

SmitFraudFix v2.234

Scan done at 20:26:08,76, 30.09.2007
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\*Name*

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\*Name*\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\*Name*\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR5005G Wireless Network Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E04E86BE-E084-4B0E-B7C1-E3CD9F4E3579}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E04E86BE-E084-4B0E-B7C1-E3CD9F4E3579}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E04E86BE-E084-4B0E-B7C1-E3CD9F4E3579}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Pooka · 30.09.2007, 19:44

Hallo myrtille,

Zitat:

Zitat von myrtille

Hi,
nur ganz schnell:
Escan ist für seine vielen Fehlalarme bekannt, also erstmal nicht die Flinte ins Korn werfen: Die Möglichkeit des "Wunders" besteht schon.

Rufe bitte eine der desktop.ini Dateien mit einem Editor auf und poste den Inhalt hier.

Die anderen Programme Blacklight, Silentrunner, Smitfraudfix brauchen normalerweise ca. 30-60 Sekunden zum erstellen des Logs, damit du in etwa einschätzen kannst, wie lange du noch an dem Rechner sitzen brauchst.

lg myrtille

EDIT: Zlob scheint auch weg.

Da hat Spybot ganze Arbeit geleistet.

Keine Angst, heute Abend hätte ich mit dem Neuaufsetzen nicht angefangen -- mir brummt der Kopf auch so schon...

Die desktop.ini sind leere Dateien mit 0 kB. Norton Antivirus war als Testversion auf dem Rechner vorinstalliert, wurde aber nie genutzt -- daher kommt wahrscheinlich die Meldung vom NULL.Corrupted Virus.

Und der EDIT freut mich natürlich auch sehr. Das nennt man wohl Achterbahn der Gefühle. Mal sehen, wann Hollywood anklopft, um die Geschichte zu verfilmen ;-)

myrtille · 30.09.2007, 19:57

Die Rechte an der Story hab ich mir leider schon gesichert, da siehste keinen müden Penny von.

Die desktop.ini sind (wie fast erwartet) Fehlalarme. Die Meldungen "exe.corrupted", "null.corrupted" sind Meldungen von eScan, wenn Dateien sich nicht wie erwaretet verhalten. Auch hier handelt es sich meistens um harmlose Dateien.
Die Dateien sind in dem Fall ja offensichtlich von Norton, deswegen würde ich das eScanergebnis als sauber erklären.

Solltest du Probleme haben, Norton vom Rechner zu bekommen, so gibt es von Norton ein Removaltool.

lg myrtille

Pooka · 30.09.2007, 20:13

F-Secure hat (in der Version mit GUI) nihcts finden können, ich konnte allerdings auch kein Log erstellen. Ich versuche es nochmal mit der Command Line-Version. Das Log von SilentRunners schaut so aus:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"SMSERIAL" = "sm56hlpr.exe" ["Motorola Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["AOL LLC"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"RealTray" = "C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"SSBkgdUpdate" = ""C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot" ["Scansoft, Inc."]
"PaperPort PTD" = "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" ["ScanSoft, Inc."]
"IndexSearch" = "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" ["ScanSoft, Inc."]
"ControlCenter2.0" = "C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun" ["Brother Industries, Ltd."]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1175975069\ee\AOLSoftware.exe" ["America Online, Inc."]
"Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\Werner\Eigene Dateien\Eigene Bilder\Wanderungen\5 Schmachtenberg\bilder 012.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Christof\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\PROGRA~1\Picasa2\Picasa2.scr" ["Google Inc."]

Startup items in "Christof" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\Christof\Startmenü\Programme\Autostart
"OpenOffice.org 2.2" -> shortcut to: "C:\Programme\OpenOffice.org 2.2\program\quickstart.exe" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"AOL 9.0 Tray-Symbol" -> shortcut to: "C:\Programme\AOL 9.0\aoltray.exe -check" ["America Online, Inc."]
"Status Monitor" -> shortcut to: "C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe Brother DCP-115C /STARTUP" ["Brother Industries, Ltd."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]