nachdem ich mein konto angeklickt habe udn in windows bin sehe ich den hintergrund abe rnoch keine desktopsymbole (da diese noch aufgebaut werden).zu diesem zeitpunkt ist alles ok.
sobald jedoch die symbole da sind wird der hintergrund unscharf und verpixelt und die namen der symbole sind mit der farbe die man im anzeigefenster als hintergrundfarbe einstellen kann hinterlegt.
ausserdem sieht man wie die symbole ausgeschnitten worden sind
Beispiel:http://img225.echo.cx/img225/3492/symbole9eb.jpg

Hallo,
sehr interessant. Sieht aus wie selbstgestrickt. Als hätte jemand die Desktopsymbole als transparente GIF auf den Hintergrund gelegt. Da ist was oberfaul Ich vermute, dass das nicht dein originaler Desktop ist. Funktioniert denn sonst alles? Was siehst du, wenn du die Eigenschaften der Icons mit der rechten Maustaste abfragst? Sind das die originalen Verknüpfungen?

Hallo@Bener


Was war denn mit deinem Juhuuu Gibt es also doch noch Probleme ???
Warum postest du das nicht in deinen Thread ?

http://www.informationsarchiv.net/foren ... 19091.html

--------------------------------------------------------------------------------------------------

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

naja ich hatte das problem schon einmal und da hab ich es wegbekommen und deshalb dass juhuuu weil ich mir gedacht hab ich schaffs auch diesesmal wieder aber ich versuchs jetzt shcon ewig.
und ich habs nich zum anderen beitrag geschriebn wiel ich dich nicht mit so einer kleinigkeit belaestigen wollte.es gibt ja leute die haben schlimmere probleme und es ist bestimmt stressig immer auf alle posts zu antworten udn da hab cih gedacht vll hilft mir hier wer anders.naja aber falsch gedacht ^^

silent runners log:
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Realtime Monitor" = "C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s" ["Computer Associates International, Inc."]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe" ["HP"]
"hplampc" = "C:\WINDOWS\System32\hplampc.exe" ["Hewlett-Packard"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"McAfee Guardian" = ""C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU" ["Network Associates, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{7850a720-705f-11d0-a9eb-0080488625e5}" = "BestCrypt Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "BCShExt.dll" ["Jetico, Inc."]
"{4EFE464B-3D0B-4800-A5DE-2321283A3256}" = "QCD IconHandler"
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\Quintessential Player\QCDIcons.dll" [empty string]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft AntiSpyware\shellextension.dll" [MS]


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Family\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Family" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"BestCrypt Auto Open" -> shortcut to: "C:\Programme\Jetico\BestCrypt\BestCrypt.exe AutoOpen" ["Jetico, Inc."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\CSLSP.DLL ["Networks Associates Technologies, Inc."], 01 - 05, 11
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 12 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\inetrepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\inetrepl.dll" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""E:\Programme\Antivir\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
eTrust Antivirus Job Server, InoTask, ""C:\Programme\CA\eTrust Antivirus\InoTask.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus Realtime Server, InoRT, ""C:\Programme\CA\eTrust Antivirus\InoRT.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus RPC Server, InoRPC, ""C:\Programme\CA\eTrust Antivirus\InoRpc.exe"" ["Computer Associates International, Inc."]
McAfee Firewall, McAfee Firewall, ""C:\Programme\McAfee\CPD.EXE" /SERVICE" ["Network Associates, Inc."]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = INFECTION WARNING! "mhk" ["Jetico, Inc."]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

Hallo@Bener

Ich versteh das nicht...jemand hat an deinem Thread rumgestellt
Nun kann ich es nicht mehr ueberpruefen

Obwohl..ich weiss noch, was ich gemacht habe.

Aber das mit der Registry war auch korrekt, dein Problem liegt hier:

C:\WINDOWS\desktop.html

die ist wahrscheilich noch vorhanden.

rechtsklick auf das Desketop-->Eigenschaften-->Desktop anpassen-->Web

dort muesstest du die desktop.html finden--> nimm das Haekchen raus und berichte

ich kann leider auch dort keine desktop.html finden.
hier mal ein bild zur information nur um das problem auch noch ein wenig deutlicher zu machen:
http://img62.echo.cx/img62/1610/desktop2ld.jpg

Hallo,
prüfe doch bitte mal mit einem Bildbearbeitungsprogramm die tatsächliche Auflösung deines Desktop Bildes. Das sieht aus, als hättest du ein Bild mit zu geringer Auflösung gestreckt.

normalerweise ist die aufloesung dieses hintergrundes nur 1024x768 aber ich hab den hintergrund shcon laenger und bevor mein pc infiziert war ging er einwandfrei udn ich hatte genau die selbe bildschirmaufloesung wie jetzt auch und er wird ja sogar noch normal angezeigt bis dann die desktopsymbole kommen erst dann ist er so verpixelt.
und es ist mit jemdem anderen beliebigen hintergrund das selbe also ich kann nehmen was ich will.

Hallo@Bener

4. Deleting files that were found.
-
unable to remove drct16.dll
unable to remove mszx23.exe
-
5. Checking for and Removing Winupdate

Ich hatte das uebersehen.....


suche und loesche:

cz.dll
C:\WINDOWS\system32\drct16.dll
C:\WINDOWS\system32\hz.sys
vdmt16.sys
winlow.sys
wz.sys
C:\WINDOWS\system32\mszx23.exe

C:\w.exe

Troj/Haxdoor-CN kann WINLOW.SYS als Dienst "winlow" mit dem Anzeigenamen "SCNDmem" registrieren. Der Trojaner kann VDMT16.SYS als Treiber "vdmt16" mit dem Anzeigenamen "VIRTwin" registrieren.

Registry:

Bearbeiten--> suchen-->winlow
Bearbeiten--> suchen-->VIRTwin


ueberpruefe bitte, ob du diese Eintraege findest:

HKLM\SYSTEM\CurrentControlSet\Services\winlow\<--mit rechtsklick loeschen
HKLM\SYSTEM\CurrentControlSet\Services\VIRTwin\<--mit rechtsklick loeschen

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16

Lade es bitte von hier: startdreck.exe
http://www.spyware911.net/downloads/startdreck.zip ,
- entpacke es in einen extra ordner
- starte die startdreck.exe
- waehle config/unmark all
- hake "nt-Kernel and FS-drivers" an,
- druecke OK
- druecke Save
speichere Das log und poste es bitte.


scanne bitte noch mal mit dem f-secure
ich will sehen, ob diese Dateien noch gefunden werden
Denn, meiner Meinung nach, liegt dort das Problem .


C:\readme.hta Trojan-Downloader.VBS.Inor.cj
C:\WINDOWS\desktop.html Trojan-Clicker.Win32.Spywad.b
C:\WINDOWS\system32\hz.sys Backdoor.Win32.Haxdoor.cn

also von den dateien die ich suchen und loeschen sollte hab ich nur die C:\w.exe gefunden und geloescht.

in der registry hab ich deine angaben auch nicht gefunden aber beim allgemeinen suchen habe ich schluessel/werte mit den namen virtwin und winlow gefunden aber ka ob die normal sind oder nicht.

f-secure scan hat auch nichts gefunden.

startdreck log:
StartDreck (build 2.1.7 public stable) - 2005-05-16 @ 19:45:18 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180
Logged in as Family at FAMILIE

»Registry
»Files
»System/Drivers
»NT Kernel- and FS-drivers
*Abiosdsk Abiosdsk - disabled
*abp480n5 abp480n5 - disabled
*Microsoft ACPI-Treiber ACPI running boot
*ACPIEC ACPIEC - disabled
*adpu160m adpu160m - disabled
*Microsoft Kernel-Echounterdrückung aec - on demand
*Umgebung für die AFD-Netzwerkunterstützung AFD running system
*Aha154x Aha154x - disabled
*aic78u2 aic78u2 - disabled
*aic78xx aic78xx - disabled
*AliIde AliIde - disabled
*AMD K7-Prozessortreiber AmdK7 running system
*amsint amsint - disabled
*asc asc - disabled
*asc3350p asc3350p - disabled
*asc3550 asc3550 - disabled
*Asynchroner RAS -Medientreiber AsyncMac - on demand
*Standard-IDE/ESDI-Festplattencontroller atapi running boot
*Atdisk Atdisk - disabled
*Protokoll für ATM ARP-Client Atmarpc - on demand
*Audiostubtreiber audstub running on demand
*BestCrypt bus driver bcbus running system
*BCSWAP BCSWAP - disabled
*BC_BFish BC_BFish running system
*BC_DES BC_DES running system
*BC_Gost BC_Gost running system
*BC_RIJN BC_RIJN running system
*BC_TFISH BC_TFISH running system
*Beep Beep running system
*cbidf2k cbidf2k - disabled
*Untertiteldecoder CCDECODE - on demand
*cd20xrnt cd20xrnt - disabled
*Cdaudio Cdaudio - system
*Cdfs Cdfs running disabled
*CD-ROM-Laufwerktreiber Cdrom running system
*Quinnware CDDA Driver (by InfinaDyne) CDRPDACC running auto
*Changer Changer - system
*CmdIde CmdIde - disabled
*Cpqarray Cpqarray - disabled
*d347bus d347bus running boot
*d347prt d347prt running boot
*dac960nt dac960nt - disabled
*Laufwerktreiber Disk running boot
*dmboot dmboot - disabled
*Treiber für die Verwaltung logischer Datenträge dmio running boot
`r
*dmload dmload running boot
*Microsoft Kernel-DLS-Synthesizer DMusic - on demand
*dpti2o dpti2o - disabled
*Microsoft Kernel-DRM-Audioentschlüsselung drmkaud - on demand
*ElbyCDFL ElbyCDFL running on demand
*ElbyCDIO Driver ElbyCDIO running auto
*ElbyVCD ElbyVCD running boot
*Fastfat Fastfat running disabled
*Diskettencontrollertreiber Fdc running on demand
*Fips Fips running system
*Diskettenlaufwerktreiber Flpydisk running on demand
*FltMgr FltMgr running boot
*fsh fsh running system
*Treiber für Volume-Manager Ftdisk running boot
*Gameport-Enumerator gameenum running on demand
*GEAR CDRom Filter GEARAspiWDM running on demand
*GMSIPCI GMSIPCI - on demand
*Standardpaketklassifizierung Gpc running on demand
*%usbscan.SvcDesc% hp4200c running on demand
*hpn hpn - disabled
*HTTP HTTP running on demand
*i2omgmt i2omgmt - system
*i2omp i2omp - disabled
*i8042-Tastatur- und PS/2-Mausanschluss-Treiber i8042prt running system
*Filtertreiber für CD-Brennen Imapi running system
*ini910u ini910u - disabled
*INO_FLPY INO_FLPY running boot
*INO_FLTR INO_FLTR running auto
*IntelIde IntelIde - disabled
*IPv6-Windows-Firewalltreiber ip6fw - on demand
*Filtertreiber für IP-Verkehr IpFilterDriver - on demand
*IP/IP-Tunneltreiber IpInIp - on demand
*Übersetzer für IP-Netzwerkadressen IpNat - on demand
*IPSEC-Treiber IPSec running system
*IR-Enumeratordienst IRENUM - on demand
*PnP-ISA/EISA-Bus-Treiber isapnp running boot
*Tastaturklassentreiber Kbdclass running system
*Microsoft Kernel-Waveaudiomixer kmixer running on demand
*KSecDD KSecDD running boot
*lbrtfdc lbrtfdc - system
*McAfee Firewall Network Filter Miniport McAfeePF running on demand
*mhk mhk running on demand
*mnmdd mnmdd running system
*Modem Modem running on demand
*moh moh running on demand
*Mausklassentreiber Mouclass running system
*Bereitstellungspunkt-Manager MountMgr running boot
*mraid35x mraid35x - disabled
*Redirector für WebDav-Client MRxDAV - on demand
*MRxSmb MRxSmb running system
*Msfs Msfs running system
*Microsoft Streaming Service Proxy MSKSSRV - on demand
*Microsoft Proxy für Streaming Clock MSPCLOCK - on demand
*Microsoft Proxy für Streaming Quality Manager MSPQM - on demand
*Microsoft-Systemverwaltungs-BIOS-Treiber mssmbios running on demand
*Microsoft Streaming Tee/Sink-to-Sink-Konvertier MSTEE - on demand
`ung
*Microsoft MPU-401 MIDI UART-Treiber ms_mpu401 running on demand
*Mup Mup running boot
*NABTS/FEC VBI-Codec NABTSFEC - on demand
*NDIS-Systemtreiber NDIS running boot
*Microsoft TV-/Videoverbindung NdisIP - on demand
*RAS-NDIS-TAPI-Treiber NdisTapi running on demand
*NDIS-Benutzermodus-E/A-Protokoll Ndisuio running on demand
*RAS-NDIS-WAN-Treiber NdisWan running on demand
*NDIS-Proxy NDProxy running on demand
*NetBIOS-Schnittstelle NetBIOS running system
*NetBios über TCP/IP NetBT running system
*Npfs Npfs running system
*NTACCESS NTACCESS - on demand
*Ntfs Ntfs running disabled
*Null Null running system
*nv nv running on demand
*Service for NVIDIA® nForce(TM) Audio Enumerator nvax running on demand
*nVidia WDM Video Capture (universal) nvcap running auto
*NVIDIA nForce MCP Networking Adapter Driver NVENET running on demand
*Service for NVIDIA® nForce(TM) Audio nvnforce running on demand
*nVidia WDM TVTuner nvTUNEP running auto
*nVidia WDM TVAudio Crossbar nvtvSND running auto
*nVidia WDM A/V Crossbar NVXBAR running auto
*NVIDIA nForce AGP Bus Filter nv_agp running boot
*Filtertreiber für IPX-Verkehr NwlnkFlt - on demand
*Treiber für IPX-Verkehrsweiterleitung NwlnkFwd - on demand
*Treiber für parallelen Anschluss Parport running on demand
*Partitions-Manager PartMgr running boot
*ParVdm ParVdm running auto
*Pcatip Pcatip running on demand
*PCI Bus Driver PCI running boot
*PCIDump PCIDump - system
*PCIIde PCIIde running boot
*Pcmcia Pcmcia - disabled
*Low level access layer for CD devices Pcouffin running on demand
*PDCOMP PDCOMP - on demand
*PDFRAME PDFRAME - on demand
*PDRELI PDRELI - on demand
*PDRFRAME PDRFRAME - on demand
*perc2 perc2 - disabled
*perc2hib perc2hib - disabled
*Padus ASPI Shell pfc running on demand
*WAN-Miniport (PPTP) PptpMiniport running on demand
*QoS-Paketplaner PSched running on demand
*Treiber für direkte Parallelverbindung Ptilink running on demand
*PCTEL Serial Device Driver for PCI Ptserlp running on demand
*PxHelp20 PxHelp20 running boot
*ql1080 ql1080 - disabled
*Ql10wnt Ql10wnt - disabled
*ql12160 ql12160 - disabled
*ql1240 ql1240 - disabled
*ql1280 ql1280 - disabled
*Treiber für automatische RAS-Verbindung RasAcd running system
*WAN-Miniport (L2TP) Rasl2tp running on demand
*Remotezugriff-PPPOE-Treiber RasPppoe running on demand
*Parallelanschluss (direkt) Raspti running on demand
*Rdbss Rdbss running system
*RDPCDD RDPCDD running system
*Treiber für Terminalserver-Geräteumleitung rdpdr running on demand
*RDPWD RDPWD - on demand
*Filtertreiber für digitale CD-Audiowiedergabe redbook running system
*Secdrv Secdrv running auto
*Serenum-Filtertreiber serenum running on demand
*Treiber für seriellen Anschluss Serial running system
*SetupNTGLM7X SetupNTGLM7X - on demand
*Sfloppy Sfloppy - system
*Simbad Simbad - disabled
*BDA Slip De-Framer SLIP - on demand
*Sparrow Sparrow - disabled
*Microsoft Kernel-Audiosplitter splitter - on demand
*Filtertreiber für Systemwiederherstellung sr running boot
*Srv Srv running on demand
*SSHDRV61 SSHDRV61 running system
*SSHDRV76 SSHDRV76 running system
*Treiber für serielle Digitalkamera StillCam - on demand
*BDA-IPSink streamip - on demand
*Software-Bus-Treiber swenum running on demand
*Microsoft Kernel GS Wavetablesynthesizer swmidi - on demand
*symc810 symc810 - disabled
*symc8xx symc8xx - disabled
*sym_hi sym_hi - disabled
*sym_u3 sym_u3 - disabled
*Microsoft Kernel-Systemaudiogerät sysaudio running on demand
*TCP/IP-Protokolltreiber Tcpip running system
*TDPIPE TDPIPE - on demand
*TDTCP TDTCP - on demand
*Terminal-Gerätetreiber TermDD running system
*TosIde TosIde - disabled
*Udfs Udfs - disabled
*ultra ultra - disabled
*Microcode Updatetreiber Update running on demand
*Microsoft USB-Standardhubtreiber usbhub running on demand
*Miniporttreiber für Microsoft USB Open Host-Con usbohci running on demand
`troller
*USB-Scannertreiber usbscan - on demand
*USB-Massenspeichertreiber USBSTOR - on demand
*VGA-Anzeigecontroller. VgaSave running system
*ViaIde ViaIde - disabled
*XP Vmodem Vmodem running boot
*VolSnap VolSnap running boot
*XP Vpctcom Vpctcom running boot
*XP Vvoice Vvoice running boot
*RAS-IP-ARP-Treiber Wanarp running on demand
*WDICA WDICA - on demand
*Treiber für Microsoft WINMM-WDM-Audiokompatibil wdmaud running on demand
`ität
*Windows Socket 2.0 Non-IFS-Dienstanbieter-Unter WS2IFSL running system
`stützungsumgebung
*World Standard Teletext-Codec WSTCODEC - on demand
»Application specific

in der registry hab ich deine angaben auch nicht gefunden aber beim allgemeinen suchen habe ich schluessel/werte mit den namen virtwin und winlow gefunden aber ka ob die normal sind oder nicht

mache mir bitte ein Bild oder schreibe, wo die Eintraege in der Registry sind .

+

2.Log: (komplett)
HijackThis-->Config
<List also minor sections (full) -->Häkchen setzen
<List empty sections (complete) -->Häkchen setzen
HijackThis-->Config-->MiscTools-->Generate StartupListlog
-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen

[/b]

Virtwin:
HKLM\SYSTEM\controlSet001\Enum\Root\LEGACY_VDMT16\0000
bild:http://img252.echo.cx/img252/6571/reg2oh.jpg
das selbe bei:
HKLM\SYSTEM\controlSet002\Enum\Root\LEGACY_VDMT16\0000
HKLM\SYSTEM\controlSet003\Enum\Root\LEGACY_VDMT16\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VDMT16\0000

winlow:
HKLM\SYSTEM\controlSet001\Enum\Root\LEGACY_WINLOW\0000
bild:http://img252.echo.cx/img252/3319/winlow5xk.jpg
HKLM\SYSTEM\controlSet002\Enum\Root\LEGACY_WINLOW\0000
HKLM\SYSTEM\controlSet003\Enum\Root\LEGACY_WINLOW\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOW\0000

hijackthis log:
StartupList report, 17.05.2005, 00:55:49
StartupList version: 1.52.2
Started from : E:\Benjamin\Downloads\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\System32\hplampc.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Jetico\BestCrypt\BCResident.exe
E:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\McAfee\CPD.EXE
C:\Programme\McAfee\CPD.EXE
C:\WINDOWS\System32\svchost.exe
E:\Benjamin\Trillian\trillian.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Benjamin\Downloads\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Family\Startmenü\Programme\Autostart]
*No files*

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
BestCrypt Auto Open.lnk = C:\Programme\Jetico\BestCrypt\BestCrypt.exe

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Realtime Monitor = C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
HPDJ Taskbar Utility = C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
hplampc = C:\WINDOWS\System32\hplampc.exe
McAfee Guardian = "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
nwiz = nwiz.exe /install
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\System32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registrierungs-Editor'

Registry check passed

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1-Klick-Wartung.job

--------------------------------------------------

Enumerating Download Program Files:

[DirectAnimation Java Classes]
CODEBASE = file://C:\WINDOWS\Java\classes\dajava.cab
OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

[Microsoft XML Parser for Java]
CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab
OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.com/v ... 3856314875

[Java Plug-in 1.4.2_04]
InProcServer32 = C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
CODEBASE = http://java.sun.com/products/plugin/aut ... s-i586.cab

[F-Secure Online Scanner]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\fscax.dll
CODEBASE = http://support.f-secure.com/ols/fscax.cab

[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll
CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[{9F1C11AA-197B-4942-BA54-47A8489BB47F}]
CODEBASE = http://v4.windowsupdate.microsoft.com/C ... 5689583333

[Get_ActiveX Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\HPGETD~1.OCX
CODEBASE = https://h17000.www1.hp.com/ewfrf-JAVA/S ... anager.ocx

[MsnMessengerSetupDownloadControl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
CODEBASE = http://messenger.msn.com/download/msnme ... loader.cab

[Java Plug-in 1.4.2_04]
InProcServer32 = C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
CODEBASE = http://java.sun.com/products/plugin/aut ... s-i586.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\macromed\flash\Flash.ocx
CODEBASE = http://fpdownload.macromedia.com/pub/sh ... wflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll
NameSpace #3: C:\WINDOWS\System32\mswsock.dll
Protocol #1: C:\WINDOWS\system32\CSLSP.DLL
Protocol #2: C:\WINDOWS\system32\CSLSP.DLL
Protocol #3: C:\WINDOWS\system32\CSLSP.DLL
Protocol #4: C:\WINDOWS\system32\CSLSP.DLL
Protocol #5: C:\WINDOWS\system32\CSLSP.DLL
Protocol #6: C:\WINDOWS\system32\mswsock.dll
Protocol #7: C:\WINDOWS\system32\mswsock.dll
Protocol #8: C:\WINDOWS\system32\mswsock.dll
Protocol #9: C:\WINDOWS\system32\rsvpsp.dll
Protocol #10: C:\WINDOWS\system32\rsvpsp.dll
Protocol #11: C:\WINDOWS\system32\CSLSP.DLL
Protocol #12: C:\WINDOWS\system32\mswsock.dll
Protocol #13: C:\WINDOWS\system32\mswsock.dll
Protocol #14: C:\WINDOWS\system32\mswsock.dll
Protocol #15: C:\WINDOWS\system32\mswsock.dll
Protocol #16: C:\WINDOWS\system32\mswsock.dll
Protocol #17: C:\WINDOWS\system32\mswsock.dll
Protocol #18: C:\WINDOWS\system32\mswsock.dll
Protocol #19: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start)
Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system)
Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start)
AMD K7-Prozessortreiber: System32\DRIVERS\amdk7.sys (system)
Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start)
Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system)
Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start)
AntiVir Update: "E:\Programme\Antivir\AVWUPSRV.EXE" (autostart)
BestCrypt bus driver: System32\DRIVERS\bcbus.sys (system)
Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
CA License Client: C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (manual start)
CA License Server: C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (manual start)
Untertiteldecoder: system32\DRIVERS\CCDECODE.sys (manual start)
CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system)
Quinnware CDDA Driver (by InfinaDyne): \??\E:\Programme\Quintessential Player\cdrpdacc.sys (autostart)
Indexdienst: C:\WINDOWS\System32\cisvc.exe (autostart)
Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled)
COM+-Systemanwendung: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
d347bus: system32\DRIVERS\d347bus.sys (system)
d347prt: System32\Drivers\d347prt.sys (system)
DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Laufwerktreiber: System32\DRIVERS\disk.sys (system)
Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system)
dmload: System32\drivers\dmload.sys (system)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start)
ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start)
ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart)
ElbyVCD: system32\DRIVERS\ElbyVCD.sys (system)
Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
COM+-Ereignissystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start)
Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start)
FltMgr: system32\drivers\fltmgr.sys (system)
Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system)
Gameport-Enumerator: System32\DRIVERS\gameenum.sys (manual start)
GEAR CDRom Filter: SYSTEM32\DRIVERS\GEARAspiWDM.sys (manual start)
GMSIPCI: \??\H:\INSTALL\GMSIPCI.SYS (manual start)
Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
%usbscan.SvcDesc%: system32\DRIVERS\hp4200c.sys (manual start)
HTTP: System32\Drivers\HTTP.sys (manual start)
HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system)
Filtertreiber für CD-Brennen: System32\DRIVERS\imapi.sys (system)
IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\System32\imapi.exe (manual start)
eTrust Antivirus RPC Server: "C:\Programme\CA\eTrust Antivirus\InoRpc.exe" (autostart)
eTrust Antivirus Realtime Server: "C:\Programme\CA\eTrust Antivirus\InoRT.exe" (autostart)
eTrust Antivirus Job Server: "C:\Programme\CA\eTrust Antivirus\InoTask.exe" (autostart)
INO_FLPY: System32\Drivers\ino_flpy.sys (system)
INO_FLTR: \??\C:\WINDOWS\System32\Drivers\ino_fltr.sys (autostart)
IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start)
Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start)
IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start)
Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start)
iPod Service: C:\Programme\iPod\bin\iPodService.exe (manual start)
IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system)
IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start)
PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system)
Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system)
Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Event Log Watch: C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (autostart)
TCP/IP-Druckserver: %SystemRoot%\System32\tcpsvcs.exe (manual start)
McAfee Firewall: "C:\Programme\McAfee\CPD.EXE" /SERVICE (autostart)
McAfee Firewall Network Filter Miniport: system32\DRIVERS\fw220.sys (manual start)
Machine Debug Manager: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe" (disabled)
Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\System32\mnmsrvc.exe (disabled)
Mausklassentreiber: System32\DRIVERS\mouclass.sys (system)
Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start)
Windows Installer: C:\WINDOWS\System32\msiexec.exe /V (manual start)
Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start)
Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start)
Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start)
Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start)
Microsoft Streaming Tee/Sink-to-Sink-Konvertierung: system32\drivers\MSTEE.sys (manual start)
Microsoft MPU-401 MIDI UART-Treiber: system32\drivers\msmpu401.sys (manual start)
NABTS/FEC VBI-Codec: system32\DRIVERS\NABTSFEC.sys (manual start)
Microsoft TV-/Videoverbindung: system32\DRIVERS\NdisIP.sys (manual start)
RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start)
NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start)
RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start)
NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system)
NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system)
Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (disabled)
Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (disabled)
Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start)
Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NTACCESS: \??\H:\NTACCESS.sys (manual start)
NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start)
Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
nv: system32\DRIVERS\nv4_mini.sys (manual start)
Service for NVIDIA® nForce(TM) Audio Enumerator: system32\drivers\nvax.sys (manual start)
nVidia WDM Video Capture (universal): system32\DRIVERS\nvcap.sys (autostart)
NVIDIA nForce MCP Networking Adapter Driver: System32\DRIVERS\NVENET.sys (manual start)
Service for NVIDIA® nForce(TM) Audio: system32\drivers\nvapu.sys (manual start)
NVIDIA Driver Helper Service: %SystemRoot%\system32\nvsvc32.exe (autostart)
nVidia WDM TVTuner: system32\DRIVERS\nvtunep.sys (autostart)
nVidia WDM TVAudio Crossbar: system32\DRIVERS\nvtvsnd.sys (autostart)
nVidia WDM A/V Crossbar: system32\DRIVERS\NVxbar.sys (autostart)
NVIDIA nForce AGP Bus Filter: System32\DRIVERS\nv_agp.sys (system)
Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start)
Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start)
Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start)
Pcatip: System32\DRIVERS\Pcatip.sys (manual start)
PCI Bus Driver: System32\DRIVERS\pci.sys (system)
PCIIde: System32\DRIVERS\pciide.sys (system)
Low level access layer for CD devices: System32\Drivers\Pcouffin.sys (manual start)
PCTEL Speaker Phone: %SystemRoot%\system32\pctspk.exe (disabled)
Padus ASPI Shell: system32\drivers\pfc.sys (manual start)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart)
WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start)
Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start)
PCTEL Serial Device Driver for PCI: System32\DRIVERS\ptserlp.sys (manual start)
PxHelp20: System32\DRIVERS\PxHelp20.sys (system)
Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system)
Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start)
Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Treiber für Terminalserver-Geräteumleitung: System32\DRIVERS\rdpdr.sys (manual start)
Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start)
Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system)
Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (disabled)
RPC-Locator: %SystemRoot%\System32\locator.exe (manual start)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (autostart)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start)
Treiber für seriellen Anschluss: System32\DRIVERS\serial.sys (system)
SetupNTGLM7X: \??\H:\NTGLM7X.sys (manual start)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
BDA Slip De-Framer: system32\DRIVERS\SLIP.sys (manual start)
SNMP-Dienst: %SystemRoot%\System32\snmp.exe (autostart)
SNMP-Trap-Dienst: %SystemRoot%\System32\snmptrap.exe (manual start)
Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
SSHDRV61: \??\C:\WINDOWS\system32\drivers\SSHDRV61.sys (system)
SSHDRV76: \??\C:\WINDOWS\System32\drivers\SSHDRV76.sys (system)
Treiber für serielle Digitalkamera: System32\DRIVERS\serscan.sys (manual start)
Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
BDA-IPSink: system32\DRIVERS\StreamIP.sys (manual start)
Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start)
Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{0211C8F9-4576-4FBA-920E-0D6F92DD629C} (manual start)
Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start)
Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system)
Terminal-Gerätetreiber: System32\DRIVERS\termdd.sys (system)
Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Telnet: C:\WINDOWS\System32\tlntsvr.exe (disabled)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
TuneUp WinStyler Theme Service: "C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe" (manual start)
Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start)
Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start)
Microsoft USB-Standardhubtreiber: System32\DRIVERS\usbhub.sys (manual start)
Miniporttreiber für Microsoft USB Open Host-Controller: System32\DRIVERS\usbohci.sys (manual start)
USB-Scannertreiber: System32\DRIVERS\usbscan.sys (manual start)
USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start)
VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system)
XP Vmodem: System32\DRIVERS\vmodem.sys (system)
XP Vpctcom: System32\DRIVERS\vpctcom.sys (system)
Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start)
XP Vvoice: System32\DRIVERS\vvoice.sys (system)
Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start)
Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Treibererweiterungen für Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WMI-Leistungsadapter: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung: \SystemRoot\System32\drivers\ws2ifsl.sys (system)
Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
World Standard Teletext-Codec: system32\DRIVERS\WSTCODEC.SYS (manual start)
Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (disabled)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\Family\LOKALE~1\Temp\A~NSISu_.exe||C:\DOKUME~1\Family\LOKALE~1\Temp\_iu14D2N.tmp


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 35.188 bytes
Report generated in 0,141 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

HKLM\SYSTEM\controlSet001\Enum\Root\LEGACY_WINLOW\0000
HKLM\SYSTEM\controlSet002\Enum\Root\LEGACY_WINLOW\0000
HKLM\SYSTEM\controlSet003\Enum\Root\LEGACY_WINLOW\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOW\0000

HKLM\SYSTEM\controlSet002\Enum\Root\LEGACY_VDMT16\0000
HKLM\SYSTEM\controlSet003\Enum\Root\LEGACY_VDMT16\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VDMT16\0000
--------------------------

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



----------------------

suche + loesche:

c:\windows\system32\klogini.dll - part of logger
c:\windows\system32\p2.ini - part of logger
c:\windows\system32\ps.a3d - pop3 accounts
c:\windows\system32\vdnt32.sys - part of logger
c:\windows\system32\vdmt16.sys - keylogger
c:\windows\system32\winlow.sys - keylogger
c:\windows\system32\klo5.sys - key logger log
c:\windows\system32\drct16.dll - key logger
c:\windows\system32\mszx23.exe - backdoor

suche und loesche:
A~NSISu_.exe
C:\DOKUME~1\Family\LOKALE~1\Temp\A~NSISu_.exe
C:\DOKUME~1\Family\LOKALE~1\Temp\_iu14D2N.tmp

gehe auch in die Registry

suche loesche.unter der :Windows NT--> 'Wininit.ini'

Windows NT 'Wininit.ini':
PendingFileRenameOperations:

C:\DOKUME~1\Family\LOKALE~1\Temp\A~NSISu_.exe
C:\DOKUME~1\Family\LOKALE~1\Temp\_iu14D2N.tmp

Nikita hat geschrieben:HKLM\SYSTEM\controlSet001\Enum\Root\LEGACY_WINLOW\0000
HKLM\SYSTEM\controlSet002\Enum\Root\LEGACY_WINLOW\0000
HKLM\SYSTEM\controlSet003\Enum\Root\LEGACY_WINLOW\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOW\0000

HKLM\SYSTEM\controlSet002\Enum\Root\LEGACY_VDMT16\0000
HKLM\SYSTEM\controlSet003\Enum\Root\LEGACY_VDMT16\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VDMT16\0000

soll ich hier den ganzen Legacy_vdmt16 schluessel loeschen oder immer nur den 0000-schluessel?
und muss ich HKLM\SYSTEM\controlSet001\Enum\Root\LEGACY_VDMT16\0000 nicht auch loeschen????
--------------------------

Nikita hat geschrieben:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[b]winlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16

suche + loesche:

c:\windows\system32\klogini.dll - part of logger
c:\windows\system32\p2.ini - part of logger
c:\windows\system32\ps.a3d - pop3 accounts
c:\windows\system32\vdnt32.sys - part of logger
c:\windows\system32\vdmt16.sys - keylogger
c:\windows\system32\winlow.sys - keylogger
c:\windows\system32\klo5.sys - key logger log
c:\windows\system32\drct16.dll - key logger
c:\windows\system32\mszx23.exe - backdoor


suche und loesche:
A~NSISu_.exe
C:\DOKUME~1\Family\LOKALE~1\Temp\A~NSISu_.exe
C:\DOKUME~1\Family\LOKALE~1\Temp\_iu14D2N.tmp

hab ich alles nicht gefunden.nur die beiden letzten in der registry

Nikita hat geschrieben:
suche loesche.unter der :Windows NT--> 'Wininit.ini'

Windows NT 'Wininit.ini':
PendingFileRenameOperations:

C:\DOKUME~1\Family\LOKALE~1\Temp\A~NSISu_.exe
C:\DOKUME~1\Family\LOKALE~1\Temp\_iu14D2N.tmp

hab nicht so ganz verstanden was ich hier machen soll und wo ich dass machen soll.bitte noch mal erklaeren

alles komplett loeschen:ueberall, wo du es findest, es darf nicht bleiben

LEGACY_WINLOW
LEGACY_VDMT16

dann suche in der Registry:Bearbeiten-->suchen (poste mir, was du findest)

A~NSISu_.exe
_iu14D2N.tmp