hijackthis-log auswertung plz

nachdem der router meiner eltern den geist aufgegeben hatte haben sie "den pc direkt an das modem angeschlossen". leider war ich die letzten 2 monate auf montage und konnte nicht helfend eingreifen. der pc war somit ~4 wochen täglich ohne firewall & co im netz.

nachdem ich die automatische auswertung lesen kann
habe ich folgende zeilen gefixed
O4 - HKCU\..\Run: [Skype] ... // nicht mehr notwendig, bin ja jetzt wieder im lande
O4 - HKUS\S-1-5-21-343818398-1292428093-839522115-1004\..\Run: [internat.exe]
O4 - HKUS\S-1-5-21-343818398-1292428093-839522115-1004\..\Run: [Skype]
O4 - HKUS\S-1-5-21-343818398-1292428093-839522115-1004\..\RunOnce: [^SetupICWDesktop]

habe ich etwas wichtiges übersehen?

es handelt sich um einen
athlon xp 2600+,
768mb ram,
ga-7vaxp,
radeon 9600 xt,
2 festplatten am mobo-eigenen raid controller.

betriebssystem ist win2k sp4.

 

Wird der Microsoft Telnet Server Service gebraucht?
War der Eintrag schon vorher da?
O1 - Hosts: 81.189.211.161 gateway
Die DNS-Server ebenso:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E57D6AB0-8860-48F4-A90C-032437D04D3F}: NameServer = 212.152.182.10,195.70.224.45

Wurde .Net Framework 2.0 wieder entfernt?
Der Dienst scheint dann nicht korrekt entfernt worden zu sein.
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

 

Die sind noch vorhanden.

Code:

O4 - HKCU\..\Run: [Skype] "C:\Dokumente und Einstellungen\restricted\Lokale Einstellungen\Anwendungsdaten\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-21-343818398-1292428093-839522115-1004\..\Run: [internat.exe] internat.exe (User 'restricted')
O4 - HKUS\S-1-5-21-343818398-1292428093-839522115-1004\..\Run: [Skype] "C:\Dokumente und Einstellungen\restricted\Lokale Einstellungen\Anwendungsdaten\Skype\Phone\Skype.exe" /nosplash /minimized (User 'restricted')
O4 - HKUS\S-1-5-21-343818398-1292428093-839522115-1004\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'restricted')

internat.exe würde ich so lassen. http://www.anti-spy.info/datei/internat.exe.html

 

kann sein dass der telnet-server noch von mir ist (ist mein alter pc). ich hab ihn jetzt abgeschaltet.

die .net frameworks waren beide drauf. das 2.0'er wurde aber wegen nicht funktionierender updates deinstalliert (KB928365 und KB947742). leider lässt sich das 1.0'er nicht deinstallieren (fehlendes paket).

die dns-einträge sind ok so. der provider vergibt statische adressen und daher muss man neben der ip auch die dns server selber eintragen.

ich habe natürlich das originale .log gepostet. man kann nie wissen

ich hänge mal das aktuelle .log an...

 

Sieht gut aus.
Der O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
kann mit HijackThis über Configuration-MiscTools-Delete an NT-Service entfernt werden.
Von MS gibt es da auch noch das delsrv.exe Tool.
http://www.pc-experience.de/wbb2/thread.php?threadid=10573
Kaputte Installerpakete kann man mit Windows Installer Cleanup beseitigen.
http://support.microsoft.com/kb/290301/de
Manche haben auch davon berichtet, dass CCleaner kaputte Registryeinträge entfernt hat, wonach eine Neuinstallation wieder ging. Das kann ich aber nicht bestätigen.

 

danke für deine tips.

ich habe das .net framework entfernt (es wird im windows update auch wieder als optionaler download angeboten, die immer wieder auftauchenden updates KB928365 bzw KB947742 sind weg)

ansonsten sieht alles ganz ok aus. ich denke der pc hat die direkte internetanbindung überlebt...