WIN32.MUDROP.N / wauctlxp4.exe+msasmsn7.dll/rpcss_pl.exe

#1

Zitat

WIN32.MUDROP.N TROJAN!

Trojan-Downloader.Win32.Zlob.f
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe

Start-->Ausfuehren-->regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bootcom<--diesen Eintrag mit rechtsklick loeschen

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll
O4 - HKLM\..\Run: [SndPnpMix] C:\WINDOWS\System32\wauctlxp4.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {E23DEDBC-B8FE-47BE-9881-0692758326B2} - (no file) (HKCU)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\msasmsn7.dll
C:\WINDOWS\System32\msxxabt3.dll
c:\windows\System32\drivers\bootcom.sys
C:\WINDOWS\System32\msamsn6.dll
C:\WINDOWS\System32\wauctlxp4.exe

PC neustarten

c:\windows\System32\drivers\bootcom.sys<--ueberpruefen, ob das geleoscht ist.
---------------------------------------------------------------------------------------------------
Lade: rkfiles.zip -->entpacken-->Gehe in den abgesicherten
Modus (F8 druecken, wenn der PC hochfaehrt)-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip


C:\Programme\Rkfiles
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\ClrSchP012.dll: UPX!
C:\WINDOWS\system32\ClrSchP0121.dll: UPX!
C:\WINDOWS\system32\cm1.dll: UPX!
C:\WINDOWS\system32\ctbv2.dll: UPX!
C:\WINDOWS\system32\exactsetup.dll: UPX!
C:\WINDOWS\system32\ezStubi.dll: UPX!
C:\WINDOWS\system32\fly.dll: UPX!
C:\WINDOWS\system32\idr_17b.exe: UPX!
C:\WINDOWS\system32\ignet.dll: UPX!
C:\WINDOWS\system32\ignet2.dll: UPX!
C:\WINDOWS\system32\in10b6.dll: UPX!
C:\WINDOWS\system32\installer_im.dll: UPX!
C:\WINDOWS\system32\lame_enc.dll: UPX!
C:\WINDOWS\system32\msasmsn7.dll: UPX!
C:\WINDOWS\system32\ncase.dll: UPX!
C:\WINDOWS\system32\ncase2.dll: UPX!
C:\WINDOWS\system32\NLNP13.dll: UPX!
C:\WINDOWS\system32\nostalgia.dll: UPX!
C:\WINDOWS\system32\perfcl.exe: UPX!
C:\WINDOWS\system32\pr1ze5.dll: UPX!
C:\WINDOWS\system32\SHAgent.dll: UPX!
C:\WINDOWS\system32\SHAgent1007.dll: UPX!
C:\WINDOWS\system32\sstep026.dll: UPX!
C:\WINDOWS\system32\taskschd.exe: UPX!
C:\WINDOWS\system32\UninstXviDDec.exe: UPX!
C:\WINDOWS\system32\wauctl9x.exe: UPX!
C:\WINDOWS\system32\wds19us.exe: UPX!
C:\WINDOWS\system32\wuactl2.exe: UPX!
C:\WINDOWS\system32\Xcite.dll: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\ClrSchP012.dll: UPX!
C:\WINDOWS\system32\ClrSchP0121.dll: UPX!
C:\WINDOWS\system32\cm1.dll: UPX!
C:\WINDOWS\system32\ctbv2.dll: UPX!
C:\WINDOWS\system32\exactsetup.dll: UPX!
C:\WINDOWS\system32\ezStubi.dll: UPX!
C:\WINDOWS\system32\fly.dll: UPX!
C:\WINDOWS\system32\idr_17b.exe: UPX!
C:\WINDOWS\system32\ignet.dll: UPX!
C:\WINDOWS\system32\ignet2.dll: UPX!
C:\WINDOWS\system32\in10b6.dll: UPX!
C:\WINDOWS\system32\installer_im.dll: UPX!
C:\WINDOWS\system32\lame_enc.dll: UPX!
C:\WINDOWS\system32\msasmsn7.dll: UPX!
C:\WINDOWS\system32\ncase.dll: UPX!
C:\WINDOWS\system32\ncase2.dll: UPX!
C:\WINDOWS\system32\NLNP13.dll: UPX!
C:\WINDOWS\system32\nostalgia.dll: UPX!
C:\WINDOWS\system32\perfcl.exe: UPX!
C:\WINDOWS\system32\pr1ze5.dll: UPX!
C:\WINDOWS\system32\SHAgent.dll: UPX!
C:\WINDOWS\system32\SHAgent1007.dll: UPX!
C:\WINDOWS\system32\sstep026.dll: UPX!
C:\WINDOWS\system32\taskschd.exe: UPX!
C:\WINDOWS\system32\UninstXviDDec.exe: UPX!
C:\WINDOWS\system32\wauctl9x.exe: UPX!
C:\WINDOWS\system32\wds19us.exe: UPX!
C:\WINDOWS\system32\wuactl2.exe: UPX!
C:\WINDOWS\system32\Xcite.dll: UPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\Unwash6.exe: UPX!
Finished
bye

KILLBOX:
http://www.bleepingcomputer.com/files/killbox.php
1. Trenne die Internetverbindung und schließe alle laufenden Programme
2. Doppel-klicke auf Killbox.exe und lasse es offen
3. In Killbox klickeauf Delete on Reboot ( roter Kasten )

Fügen diese Datei oben in die Full Path of File to Delete Box (1) in
dem man den u.g. Pfad dort eingibt oder mit (2) auf dem Computer nach der Datei suchen

C:\WINDOWS\Unwash6.exe
C:\WINDOWS\system32\ClrSchP012.dll
C:\WINDOWS\system32\ClrSchP0121.dll
C:\WINDOWS\system32\cm1.dll
C:\WINDOWS\system32\ctbv2.dll
C:\WINDOWS\system32\exactsetup.dll
C:\WINDOWS\system32\ezStubi.dll
C:\WINDOWS\system32\fly.dll
C:\WINDOWS\system32\idr_17b.exe
C:\WINDOWS\system32\ignet.dll
C:\WINDOWS\system32\ignet2.dll
C:\WINDOWS\system32\in10b6.dll
C:\WINDOWS\system32\installer_im.dll
C:\WINDOWS\system32\lame_enc.dll
C:\WINDOWS\system32\msasmsn7.dll
C:\WINDOWS\system32\ncase.dll
C:\WINDOWS\system32\ncase2.dll
C:\WINDOWS\system32\NLNP13.dll
C:\WINDOWS\system32\nostalgia.dll
C:\WINDOWS\system32\perfcl.exe
C:\WINDOWS\system32\pr1ze5.dll
C:\WINDOWS\system32\SHAgent.dll
C:\WINDOWS\system32\SHAgent1007.dll
C:\WINDOWS\system32\sstep026.dll
C:\WINDOWS\system32\taskschd.exe
C:\WINDOWS\system32\UninstXviDDec.exe
C:\WINDOWS\system32\wauctl9x.exe
C:\WINDOWS\system32\wds19us.exe
C:\WINDOWS\system32\wuactl2.exe
C:\WINDOWS\system32\Xcite.dll
c:\windows\System32\drivers\bootcom.sys

5. Klicke Yes beim Delete on Reboot Prompt.
6. Klicke No beim laufenden Prozesse Prompt
7. Klicke auf den Delete File Button (sieht aus wie ein Stopzeichen (3).
8. Klicke auf Yes beim Delete on Reboot Prompt.
9. Klicke auf Yes beim laufenden Prozesse Prompt, um den Computer neu zu starten. Lasse den Computer neustarten.
10. Sollte folgende Meldung erscheinen, dann führe einen manuellen Neustart durch. "PendingFileRenameOperations Registry Data has been Removed by External Process!"

PC neustarten

fixe mit dem HijackThis:

O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll
O4 - HKLM\..\Run: [SndPnpMix] C:\WINDOWS\System32\wauctlxp4.exe

Hier der log.txt:
Zitat:
C:\Programme\Rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = myproxy.netpark.at:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with Go!Zilla - file://F:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {E23DEDBC-B8FE-47BE-9881-0692758326B2} - (no file) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

__________
MfG Sabina

rund um die PC-Sicherheit

#2 Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "RPC+ Service Provider (RPCSS+) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"RPC+ Service Provider (RPCSS+) " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Fixe mit dem HijackThis:

O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {E23DEDBC-B8FE-47BE-9881-0692758326B2} - (no file) (HKCU)
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe

PC neustarten

--------------------------------------------------------------------------

Start-->Ausfuehren--> kopiere rein:

sc delete rpcss+

klicke enter

--------------------------------------------------------------------------
Gehe in die Registry

findest du das?????
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.affpnpdevsys

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

RPC+ Service Provider

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

RPCSS+

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

BOOTCOM

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)


Loesche mit der Killbox:-->Full path of file to delete

C:\WINDOWS\System32\rpcss_pl.exe

PC neustarten

------------------------------------------------------------------------

INFO:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcss
Description REG_SZ Provides the endpoint mapper and other miscellaneous RPC services.
DisplayName REG_SZ Remote Procedure Call (RPC)
ErrorControl REG_DWORD 0x1
Group REG_SZ COM Infrastructure
ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost -k rpcss
ObjectName REG_SZ LocalSystem
Start REG_DWORD 0x2
Type REG_DWORD 0x20
FailureActions REG_BINARY 00000000000000000000000001000000000000000200000060EA0000

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcss\Parameters

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcss\Security

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcss\Enum

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcss+
DrvMode REG_DWORD 0x225
Type REG_DWORD 0x10
Start REG_DWORD 0x2
ErrorControl REG_DWORD 0x1
ImagePath REG_EXPAND_SZ C:\WINDOWS\System32\rpcss_pl.exe
DisplayName REG_SZ RPC+ Service Provider
Group REG_SZ COM Infrastructure
ObjectName REG_SZ LocalSystem
Description REG_SZ RPC+ Service Provider

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcss+\Security

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rpcss+\Enum

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BOOTCOM
Type REG_DWORD 0x1
Start REG_DWORD 0x0
ErrorControl REG_DWORD 0x1
ImagePath REG_EXPAND_SZ System32\drivers\bootcom.sys
DisplayName REG_SZ BOOTCOM
Group REG_SZ System Reserved

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BOOTCOM\Security

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BOOTCOM\Enum

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.affpnpdevsys

-------------------------------

Start-->Ausfuehren--> cmd (reinschreiben)

kopiere rein:
sc stop rpcss+
klicke "enter"

und warte ein bisschen,
dann kopiere rein:

sc delete rpcss+
klicke "enter"

kopiere rein:
del C:\WINDOWS\System32\rpcss_pl.exe
Klicke "enter"



Fixe mit dem HijackThis:
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe (file missing)


PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCSS+\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RPCSS+]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RPCSS+\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RPCSS+]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_RPCSS+\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\RPCSS+]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCSS+\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCSS+]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BOOTCOM]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BOOTCOM]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_BOOTCOM]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BOOTCOM]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_BOOTCOM]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BOOTCOM]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BOOTCOM\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BOOTCOM]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.

dann suche bitte: (in der Registry --> bearbeiten--> suchen und unter Windows)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.affpnpdevsys

Loesche mit der Killbox:
c:\windows\System32\drivers\affpnpdev.sys
c:\windows\System32\drivers\bootcom.sys
__________
MfG Sabina

rund um die PC-Sicherheit