Verzeichnisse die sich nicht löschen lassen und kein ICS mehr möglich |
||
---|---|---|
#0
| ||
06.11.2005, 09:46
...neu hier
Beiträge: 7 |
||
|
||
06.11.2005, 09:55
Moderator
Beiträge: 7805 |
#2
Interessant. Pote bitte ein Hijackthis log und nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml
Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den REchner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier. Das rootkitrevealer log waere auch nicht schlecht. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2005, 10:03
...neu hier
Themenstarter Beiträge: 7 |
#3
Sorry mein Beitrag war leider noch nicht fertig. Ich hoffe ich habe jetzt nichts vergessen.
Blacklight habe ich heute morgen laufen lassen. Es wurde nichts gefunden. Logfile of HijackThis v1.99.1 Scan saved at 10:03:26, on 06.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe d:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\oodag.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe d:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE d:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS D:\programme\DU Meter\DUMeter.exe D:\Programme\AVPersonal\AVGNT.EXE d:\Programme\Trillian\trillian.exe D:\programme\No-IP\DUC20.exe C:\WINDOWS\System32\cmd.exe D:\programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\taskmgr.exe D:\programme\UltraEdit\uedit32.exe D:\programme\UltraEdit\uedit32.exe C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [DU Meter] D:\programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SmcService] d:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [DriveLED] D:\programme\OO Software\DriveLED\oodled.exe O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - d:\Programme\Last Minute Gebot\plmg.exe (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{72095E94-5788-4207-BA1C-CE321B5DB95A}: NameServer = 195.50.140.250 195.50.140.114 O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - D:\programme\iPod\bin\iPodService.exe O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - d:\Programme\Sygate\SPF\smc.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - d:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - d:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - E:\TEMP\_VWUPSRV.EXE (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) |
|
|
||
06.11.2005, 10:51
Moderator
Beiträge: 7805 |
#4
Nagut, da scheint dich was haeftiges erwischt zu haben. Wenn du svv mit /fix ausgefuehrt hast, kannst du dann auf C:\WINDOWS\system32\drivers\knlps\ zugreifen? SOnst versuche bitte dir eine Linuxbootcd(Knoppix) oder eine BartPE CD (http://pcfreaks.big-clan.net/bartpe/index.shtml) zu erstellen oder zu organisieren. Starte von ihr und du kannst die Dinge kopieren. Bei Linux nur kopieren(usbstick oder aehnlichem), da da mit NTFS nicht gut klar kommt. Mit einer PE cd einfach die Sachen packen oder kopieren/Umbenennen.
Wenn du das schaffst, dann bitte folgendes an virus@protecus.de: C:\WINDOWS\system32\drivers\knlps\nul\usr\bin 18.10.2005 08:33 0 bytes Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_.exe 16.10.2005 01:50 38.50 KB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_1.bat 18.10.2005 08:32 2.96 KB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_1.lst 18.10.2005 08:32 18.06 KB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_2.bat 18.10.2005 08:32 4.71 KB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_2.exe 18.10.2005 08:32 92.50 KB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_bbt.exe 28.10.2005 13:29 81.50 KB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cc.exe 16.10.2005 01:50 102.00 KB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd.exe 16.10.2005 01:50 379.50 KB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\libeay32.dll 16.10.2005 01:50 1.13 MB Hidden from Windows API. C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\libssl32.dll 16.10.2005 01:50 241.14 KB Hidden from Windows API. C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API. C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API. Dann sehen wir weiter, ich sage dir aber gleich, der hat wohl wie wild bei dir geklaut und Sachen aufgezeichnet! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2005, 11:12
Moderator
Beiträge: 7805 |
#5
Du koenntest noch zwei Sachen machen/ausschliessen.
Einmal ein ssv report mit Option /m und im abgesicherten Modus starten, vieleicht haben wir Glueck und das ist der eigentliche Rootkit, der im abgesicherten Modus nicht aktiv ist, ich denke zwar nicht, aber auschliessen wollte ich es gerne: O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2005, 12:41
...neu hier
Themenstarter Beiträge: 7 |
#6
Ich habe gerade mit dem Erstellen der BartPE CD gekämpft. Jetzt läuft sie. werde sie gleich mal ausprobieren.
Das mit svv und dem abgesicherten Modus werde ich sofort mal ausprobieren und das log posten. ***************************** Svv funktioniert im abgesicherten Modus nicht. ERROR (code = 0x43c): loading driver ***************************** Mit der BartPE-CD konnte ich in das Verzeichnis knlps\nul\usr\bin wecheln und alle sich darin befindlichen Dateien herauskopieren. Danach habe ich die Dateien in diesem Verzeichnis gelöscht. Leider konnte ich das Verzechnis bin nicht löschen. Gibt es eine Möglichkeit knlps\nul\usr\bin zu löschen? Die Email ist rausgeschickt. Die Datei heisst rootkit.zip DANKE Dieser Beitrag wurde am 06.11.2005 um 14:07 Uhr von dermitdemroo editiert.
|
|
|
||
06.11.2005, 14:20
Moderator
Beiträge: 7805 |
#7
Ja, habe sie bekommen und schaue gerade nach.
Schicke bitte noch dise beiden: C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API. C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API. Dies Dateien bitte nur umbenennen, nicht loeschen! Danach starte den REchner normal und poste ein neues Rootkitrevealer und Hijackthis log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2005, 15:28
...neu hier
Themenstarter Beiträge: 7 |
#8
C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API. Die beiden Dateien existieren nicht mehr. O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing) ******************* C:\WINDOWS\system32\spool\prtprocs\_0_ 16.10.2005 01:47 0 bytes Hidden from Windows API. C:\WINDOWS\system32\spool\prtprocs\_0_\nul 13.07.2005 01:13 0 bytes Hidden from Windows API. C:\WINDOWS\system32\spool\prtprocs\_0_\nul\nul in dieses Verzeichnis konnte ich mit der BartPE-CD leider nicht rein. ******************* HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 21.10.2005 10:43 26 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Skype 09.07.2005 20:13 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 10.10.2005 16:10 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 21.10.2005 10:45 26 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 06.11.2005 14:47 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 06.11.2005 14:47 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet003\Services\Vax347s\Config\jdgg40 24.10.2005 13:16 0 bytes Hidden from Windows API. ************************************ Da svv nicht im abgesicherten Modus lief habe ich es noch mal gerade eben nach dem Scan von Hijack und Rootkit Revealer laufen lassen. E:\Install\SVV>svv check /m WARNING: Service Table redirection detected origKiServiceTbl: 0x804d4000 - 0x804d4500 currKiServiceTbl: 0x804fe7a8 - 0x804fec18 ntoskrnl.exe (804d4000 - 806bb000)... suspected! (verdict = 4). module ntoskrnl.exe [0x804d4000 - 0x806bb000]: 0x804fe80c 4 byte(s): SUSPECTED code modification: file :be 05 5a 80 memory :fc c7 e1 b9 verdict = 4 0x804fe83c 4 byte(s): SUSPECTED code modification: file :ce 00 56 80 memory :6a cb e1 b9 verdict = 4 0x804fe84c 4 byte(s): SUSPECTED code modification: file :d4 0b 60 80 memory :10 8c 62 f7 verdict = 4 0x804fe85c 4 byte(s): SUSPECTED code modification: file :80 f5 58 80 memory :70 cc 61 f7 verdict = 4 0x804fe87c 4 byte(s): SUSPECTED code modification: file :ce 37 5b 80 memory :40 4c 9e f7 verdict = 4 0x804fe8c4 4 byte(s): SUSPECTED code modification: file :f0 13 60 80 memory :fe d4 61 f7 verdict = 4 0x804fe8cd 3 byte(s): SUSPECTED code modification: file :16 60 80 memory :8d 62 f7 verdict = 4 0x804fe958 4 byte(s): SUSPECTED code modification: file :f2 59 59 80 memory :d0 48 9e f7 verdict = 4 0x804fe978 4 byte(s): SUSPECTED code modification: file :48 11 56 80 memory :9e d1 e1 b9 verdict = 4 0x804fe984 4 byte(s): SUSPECTED code modification: file :88 1e 60 80 memory :d4 8b 62 f7 verdict = 4 0x804fea28 4 byte(s): SUSPECTED code modification: file :9e 21 60 80 memory :1e d5 61 f7 verdict = 4 0x804fea6c 4 byte(s): SUSPECTED code modification: file :98 ef 5f 80 memory :a6 8c 62 f7 verdict = 4 0x804feb6c 4 byte(s): SUSPECTED code modification: file :9c 01 63 80 memory :f0 84 62 f7 verdict = 4 0x804feb8c 4 byte(s): SUSPECTED code modification: file :e6 06 5f 80 memory :70 4e 9e f7 verdict = 4 0x804febac 4 byte(s): SUSPECTED code modification: file :ae 4f 5b 80 memory :00 4e 9e f7 verdict = 4 0x804febf0 4 byte(s): SUSPECTED code modification: file :2e 3d 56 80 memory :0e c9 e1 b9 verdict = 4 0x80531912 1 byte(s): exclusion filter: single byte modification file :05 memory :06 verdict = 1 0x80535bce 18 byte(s): exclusion filter: KeFlushCurrentTb() file :d8 0f 22 d8 c3 0f 20 e0 25 7f ff ff ff 0f 22 e0 0d 80 memory :e0 25 7f ff ff ff 0f 22 e0 0d 80 00 00 00 0f 22 e0 c3 verdict = 1 0x80535be6 1 byte(s): exclusion filter: single byte modification file :c3 memory :00 verdict = 1 0x805365b4 [RtlPrefetchMemoryNonTemporal()+0] 1 byte(s): exclusion filter: s ingle byte modification file :c3 memory :90 verdict = 1 module ntoskrnl.exe: end of details tcpip.sys (f5a7e000 - f5ad1000)... suspected! (verdict = 5). module tcpip.sys [0xf5a7e000 - 0xf5ad1000]: 0xf5a81341 6 byte(s): SUSPECTED code modification: file :ff 70 04 ff 50 30 memory :e8 ba 8e 99 01 90 verdict = 5 0xf5a8aea9 6 byte(s): SUSPECTED code modification: file :ff 70 04 ff 50 30 memory :e8 52 f3 98 01 90 verdict = 5 0xf5a95f7c 6 byte(s): SUSPECTED code modification: file :ff 70 04 ff 50 30 memory :e8 7f 42 98 01 90 verdict = 5 module tcpip.sys: end of details SYSTEM INFECTION LEVEL: 5 0 - BLUE 1 - GREEN 2 - YELLOW 3 - ORANGE 4 - RED --> 5 - DEEPRED SUSPECTED modifications detected. System is probably infected! E:\Install\SVV>svv fix /m WARNING: Service Table redirection detected origKiServiceTbl: 0x804d4000 - 0x804d4500 currKiServiceTbl: 0x804fe7a8 - 0x804fec18 ntoskrnl.exe (804d4000 - 806bb000)... suspected! (verdict = 4). module ntoskrnl.exe [0x804d4000 - 0x806bb000]: 0x804fe80c 4 byte(s): SUSPECTED code modification: file :be 05 5a 80 memory :fc c7 e1 b9 verdict = 4 0x804fe83c 4 byte(s): SUSPECTED code modification: file :ce 00 56 80 memory :6a cb e1 b9 verdict = 4 0x804fe84c 4 byte(s): SUSPECTED code modification: file :d4 0b 60 80 memory :10 8c 62 f7 verdict = 4 0x804fe85c 4 byte(s): SUSPECTED code modification: file :80 f5 58 80 memory :70 cc 61 f7 verdict = 4 0x804fe87c 4 byte(s): SUSPECTED code modification: file :ce 37 5b 80 memory :40 4c 9e f7 verdict = 4 0x804fe8c4 4 byte(s): SUSPECTED code modification: file :f0 13 60 80 memory :fe d4 61 f7 verdict = 4 0x804fe8cd 3 byte(s): SUSPECTED code modification: file :16 60 80 memory :8d 62 f7 verdict = 4 0x804fe958 4 byte(s): SUSPECTED code modification: file :f2 59 59 80 memory :d0 48 9e f7 verdict = 4 0x804fe978 4 byte(s): SUSPECTED code modification: file :48 11 56 80 memory :9e d1 e1 b9 verdict = 4 0x804fe984 4 byte(s): SUSPECTED code modification: file :88 1e 60 80 memory :d4 8b 62 f7 verdict = 4 0x804fea28 4 byte(s): SUSPECTED code modification: file :9e 21 60 80 memory :1e d5 61 f7 verdict = 4 0x804fea6c 4 byte(s): SUSPECTED code modification: file :98 ef 5f 80 memory :a6 8c 62 f7 verdict = 4 0x804feb6c 4 byte(s): SUSPECTED code modification: file :9c 01 63 80 memory :f0 84 62 f7 verdict = 4 0x804feb8c 4 byte(s): SUSPECTED code modification: file :e6 06 5f 80 memory :70 4e 9e f7 verdict = 4 0x804febac 4 byte(s): SUSPECTED code modification: file :ae 4f 5b 80 memory :00 4e 9e f7 verdict = 4 0x804febf0 4 byte(s): SUSPECTED code modification: file :2e 3d 56 80 memory :0e c9 e1 b9 verdict = 4 0x80531912 1 byte(s): exclusion filter: single byte modification file :05 memory :06 verdict = 1 0x80535bce 18 byte(s): exclusion filter: KeFlushCurrentTb() file :d8 0f 22 d8 c3 0f 20 e0 25 7f ff ff ff 0f 22 e0 0d 80 memory :e0 25 7f ff ff ff 0f 22 e0 0d 80 00 00 00 0f 22 e0 c3 verdict = 1 0x80535be6 1 byte(s): exclusion filter: single byte modification file :c3 memory :00 verdict = 1 0x805365b4 [RtlPrefetchMemoryNonTemporal()+0] 1 byte(s): exclusion filter: s ingle byte modification file :c3 memory :90 verdict = 1 module ntoskrnl.exe: end of details tcpip.sys (f5a7e000 - f5ad1000)... suspected! (verdict = 5). module tcpip.sys [0xf5a7e000 - 0xf5ad1000]: 0xf5a81341 6 byte(s): SUSPECTED code modification: file :ff 70 04 ff 50 30 memory :e8 ba 8e 99 01 90 verdict = 5 0xf5a8aea9 6 byte(s): SUSPECTED code modification: file :ff 70 04 ff 50 30 memory :e8 52 f3 98 01 90 verdict = 5 0xf5a95f7c 6 byte(s): SUSPECTED code modification: file :ff 70 04 ff 50 30 memory :e8 7f 42 98 01 90 verdict = 5 module tcpip.sys: end of details SYSTEM INFECTION LEVEL: 5 0 - BLUE 1 - GREEN 2 - YELLOW 3 - ORANGE 4 - RED --> 5 - DEEPRED SUSPECTED modifications detected. System is probably infected! current verdict level: 5 target verdict level : 2 WARNING: DISINFECTION process can crash your system! You are doing it ON YOUR OWN RISK!!! Are you sure (yes/no)? yes ---> fixing kernel & current process modules fixing module ntoskrnl.exe... fixed. fixing module tcpip.sys... fixed. ---> fixing foreign processes' modules |
|
|
||
06.11.2005, 15:46
Moderator
Beiträge: 7805 |
#9
Zitat C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.Hast du alle versteckten Dateien anzeigen lassen: http://people.freenet.de/rene-gad/invisible.html Du hast das Hijackthis log vergessen..... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2005, 16:13
...neu hier
Themenstarter Beiträge: 7 |
#10
Ja, die Einstellungen sind richtig. Die Dateien sind nicht mehr vorhanden. Leider muss ich gestehen, dass das Rootkit Revealer Log das ich gepostet habe zu dem Zeitpunkt als ich mein erstes Posting verfasst habe nicht mehr aktuell war.
************************* Logfile of HijackThis v1.99.1 Scan saved at 14:45:15, on 06.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe d:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\oodag.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\rsvp.exe D:\programme\DU Meter\DUMeter.exe D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\svchost.exe D:\programme\OO Software\DriveLED\oodled.exe d:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE d:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS d:\Programme\RealVNC\VNC4\WinVNC4.exe D:\programme\Norton Commander\NC.EXE C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [DU Meter] D:\programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SmcService] d:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [DriveLED] D:\programme\OO Software\DriveLED\oodled.exe O4 - Startup: start.bat O4 - Startup: yonc.exe.lnk = D:\programme\Yonc\yonc.exe O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - d:\Programme\Last Minute Gebot\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - d:\Programme\Last Minute Gebot\plmg.exe (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - D:\programme\iPod\bin\iPodService.exe O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - D:\PROGRA~1\Serv-U\SERVUD~1.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - d:\Programme\Sygate\SPF\smc.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - d:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - d:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - E:\TEMP\_VWUPSRV.EXE (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) |
|
|
||
06.11.2005, 16:37
Moderator
Beiträge: 7805 |
#11
Nagut, dann mal die Sacche weiter eingrenzen. Du brauchst vnc und den serv-u ftp Server?
Wozu brauchst du das: O4 - Startup: start.bat O4 - Startup: yonc.exe.lnk = D:\programme\Yonc\yonc.exe und poste bitte ein Datfind log: http://virus-protect.org/datfindbat.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2005, 17:04
...neu hier
Themenstarter Beiträge: 7 |
#12
Ja ich brauche VNC um auf meinen Zweitrechner zugreifen zu können an dem kein Monitor hängt und der FTP-Server wird auch benötigt.
start.bat: pause start d:\programme\Skype\Phone\Skype.exe /nosplash /minimized start d:\programme\MailBell\mailbell.exe start d:\programme\Serv-U\ServUAdmin.exe start d:\programme\Mirc\mirc.exe eine batch Datei die mir alle Anwendungen die eine aktive Internetverbindung benötigen erst dann starten wenn ich mit yonc eine Internetverbindung hergestellt habe Yonc • Your Dial Up Networking Companion http://www.emtec.com/yonc/index.html MailBell • Email Notification for Windows http://www.emtec.com/mailbell/index.html ***************************** Datentr„ger in Laufwerk C: ist WinXP-Boot Volumeseriennummer: 7CA5-66A3 Verzeichnis von C:\WINDOWS\system32 06.11.2005 14:42 13.968 OODBS.lor 06.11.2005 14:41 24.264 BMXCtrlState-{00000002-00000000-00000009-00001102-00000002-80271102}.rfx 06.11.2005 14:41 24.264 BMXBkpCtrlState-{00000002-00000000-00000009-00001102-00000002-80271102}.rfx 06.11.2005 14:41 16.324 BMXState-{00000002-00000000-00000009-00001102-00000002-80271102}.rfx 06.11.2005 14:41 16.324 BMXStateBkp-{00000002-00000000-00000009-00001102-00000002-80271102}.rfx 06.11.2005 14:41 1.080 settingsbkup.sfm 06.11.2005 14:41 1.080 settings.sfm 06.11.2005 14:41 24 DVCStateBkp-{00000002-00000000-00000009-00001102-00000002-80271102}.dat 06.11.2005 14:41 24 DVCState-{00000002-00000000-00000009-00001102-00000002-80271102}.dat 05.11.2005 18:46 8.139.838 NQSQQP 05.11.2005 15:26 0 h323log.txt 05.11.2005 11:47 2.206 wpa.dbl 01.11.2005 16:26 7.564.860 KSZVKE 31.10.2005 17:16 309.810 perfh007.dat 31.10.2005 17:16 308.378 perfh009.dat 31.10.2005 17:16 45.672 perfc007.dat 31.10.2005 17:16 38.780 perfc009.dat 31.10.2005 17:16 709.646 PerfStringBackup.INI 18.10.2005 08:16 28.996 nvapps.xml 17.10.2005 20:39 2.550 Uninstall.ico 17.10.2005 20:39 1.406 Help.ico 17.10.2005 20:39 1.718 Open.ico 17.10.2005 20:39 5.350 IE.ico 17.10.2005 20:39 9.470 Desktop.ico 17.10.2005 20:39 1.718 Quick.ico 16.10.2005 21:56 4.212 zllictbl.dat 01.10.2005 03:24 118 RFERRORS.TXT 01.10.2005 03:24 118 rfmsglog.txt 28.09.2005 18:53 682 results.txt 09.09.2005 04:08 2.006.368 MRT.exe 01.09.2005 16:05 65.536 QuickTimeVR.qtx 30.08.2005 08:26 1.233.408 quartz.dll 23.08.2005 04:51 112.128 umpnpmgr.dll 22.08.2005 19:36 154.624 netman.dll 11.08.2005 16:21 57.856 nwwks.dll 05.08.2005 18:23 234.496 msieftp.dll 02.08.2005 15:35 319.488 nvwrsnl.dll 02.08.2005 15:35 299.008 nvwrsno.dll 02.08.2005 15:35 294.912 nvwrspl.dll 02.08.2005 15:35 323.584 nvwrspt.dll 02.08.2005 15:35 319.488 nvwrsptb.dll 02.08.2005 15:35 315.392 nvwrsru.dll 02.08.2005 15:35 299.008 nvwrssk.dll 02.08.2005 15:35 303.104 nvwrssl.dll 02.08.2005 15:35 294.912 nvwrssv.dll 02.08.2005 15:35 303.104 nvwrstr.dll 02.08.2005 15:35 163.840 nvwrszhc.dll 02.08.2005 15:35 167.936 nvwrszht.dll 02.08.2005 15:35 1.519.616 nwiz.exe 02.08.2005 15:35 323.584 nvwrsit.dll 02.08.2005 15:35 315.392 nvwrshu.dll 02.08.2005 15:35 278.528 nvwrshe.dll 02.08.2005 15:35 327.680 nvwrsfr.dll 02.08.2005 15:35 303.104 nvwrsfi.dll 02.08.2005 15:35 327.680 nvwrsesm.dll 02.08.2005 15:35 335.872 nvwrses.dll 02.08.2005 15:35 286.720 nvwrseng.dll 02.08.2005 15:35 335.872 nvwrsel.dll 02.08.2005 15:35 393.216 keystone.exe 02.08.2005 15:35 311.296 nvwrsde.dll 02.08.2005 15:35 294.912 nvwrsda.dll 02.08.2005 15:35 286.720 nvwrscs.dll 02.08.2005 15:35 282.624 nvwrsar.dll 02.08.2005 15:35 1.019.904 nvwimg.dll 02.08.2005 15:35 1.662.976 nvwdmcpl.dll 02.08.2005 15:35 81.920 nvwddi.dll 02.08.2005 15:35 176.128 nvudisp.exe 02.08.2005 15:35 212.992 nvwrsja.dll 02.08.2005 15:35 73.728 nvtuicpl.cpl 02.08.2005 15:35 127.043 nvsvc32.exe 02.08.2005 15:35 466.944 nvshell.dll 02.08.2005 15:35 114.688 nvrszht.dll 02.08.2005 15:35 212.992 nvrszhc.dll 02.08.2005 15:35 245.760 nvrstr.dll 02.08.2005 15:35 3.908.864 nv4_disp.dll 02.08.2005 15:35 241.664 nvrssv.dll 02.08.2005 15:35 442.368 nvappbar.exe 02.08.2005 15:35 241.664 nvrssl.dll 02.08.2005 15:35 245.760 nvrssk.dll 02.08.2005 15:35 258.048 nvrsru.dll 02.08.2005 15:35 32.768 nvcod.dll 02.08.2005 15:35 32.768 nvcodins.dll 02.08.2005 15:35 147.456 nvcolor.exe 02.08.2005 15:35 7.110.656 nvcpl.dll 02.08.2005 15:35 14.757 nvdisp.nvu 02.08.2005 15:35 1.339.392 nvdspsch.exe 02.08.2005 15:35 253.952 nvrsptb.dll 02.08.2005 15:35 262.144 nvrspt.dll 02.08.2005 15:35 540.672 nvhwvid.dll 02.08.2005 15:35 1.466.368 nview.dll 02.08.2005 15:35 241.664 nvrspl.dll 02.08.2005 15:35 86.016 nvmctray.dll 02.08.2005 15:35 241.664 nvrsno.dll 02.08.2005 15:35 286.720 nvnt4cpl.dll 02.08.2005 15:35 5.140.480 nvoglnt.dll 02.08.2005 15:35 262.144 nvrsnl.dll 02.08.2005 15:35 315.392 nvrsar.dll 02.08.2005 15:35 233.472 nvrscs.dll 02.08.2005 15:35 249.856 nvrsko.dll 02.08.2005 15:35 241.664 nvrsda.dll 02.08.2005 15:35 266.240 nvrsde.dll 02.08.2005 15:35 270.336 nvrsel.dll 02.08.2005 15:35 253.952 nvrsja.dll 02.08.2005 15:35 237.568 nvrseng.dll 02.08.2005 15:35 270.336 nvrses.dll 02.08.2005 15:35 262.144 nvrsesm.dll 02.08.2005 15:35 237.568 nvrsfi.dll 02.08.2005 15:35 270.336 nvrsit.dll 02.08.2005 15:35 270.336 nvrsfr.dll 02.08.2005 15:35 245.760 nvrshu.dll 02.08.2005 15:35 311.296 nvrshe.dll 02.08.2005 15:35 32.768 SET589.tmp 02.08.2005 15:35 196.608 nvwrsko.dll ****** Datentr„ger in Laufwerk E: ist WinXP-Swap Volumeseriennummer: 6C13-4993 Verzeichnis von E:\temp 06.11.2005 16:04 260 WcesView.log 06.11.2005 15:02 16.384 Perflib_Perfdata_aa0.dat 06.11.2005 09:41 824 sOutTmp94133.tmp 06.11.2005 08:50 1.042 sOutTmp84127.tmp 06.11.2005 08:40 834 sOutTmp84034.tmp 06.11.2005 08:32 824 sOutTmp8324.tmp 24.10.2005 17:10 97.792 S.exe 24.10.2005 17:10 97.792 BKKYPDQ.exe 8 Datei(en) 215.752 Bytes 0 Verzeichnis(se), 897.368.064 Bytes frei S.exe und BKKYPDQ.exe sind Kopien des Rootkit Revealers der sich ins Temp Verzechnis kopiert und sich von da aus als Dienst installiert und startet. ********* Datentr„ger in Laufwerk C: ist WinXP-Boot Volumeseriennummer: 7CA5-66A3 Verzeichnis von C:\ 06.11.2005 16:51 0 systemtemp.txt 06.11.2005 16:47 115.632 system32.txt 06.11.2005 16:46 429 datFind.bat 04.01.2005 09:14 194 boot.ini 26.06.2004 12:47 47.580 NTDETECT.COM 26.06.2004 12:47 235.296 ntldr 26.06.2004 11:14 0 MSDOS.SYS 26.06.2004 11:14 0 IO.SYS 23.08.2001 13:00 4.952 bootfont.bin 9 Datei(en) 404.083 Bytes 0 Verzeichnis(se), 405.684.224 Bytes frei ****** Datentr„ger in Laufwerk C: ist WinXP-Boot Volumeseriennummer: 7CA5-66A3 Verzeichnis von C:\WINDOWS 06.11.2005 16:36 54.156 QTFont.qfn 06.11.2005 16:36 1.409 QTFont.for 06.11.2005 14:44 0 0.log 06.11.2005 14:43 50 wiaservc.log 06.11.2005 14:43 159 wiadebug.log 06.11.2005 14:42 2.048 bootstat.dat 06.11.2005 14:41 32.412 SchedLgU.Txt 06.11.2005 12:59 536.206 ntbtlog.txt 06.11.2005 12:53 7.757 setupapi.log 06.11.2005 11:51 0 svcpack.log 06.11.2005 10:44 828 win.ini 06.11.2005 10:38 95 winamp.ini 05.11.2005 10:49 5.943 cFosSpeed_Setup_Log.txt 05.11.2005 10:46 352 system.ini 04.11.2005 17:30 862 TSC.ini 04.11.2005 16:40 2.418.874 tsc.ptn 04.11.2005 16:39 170.053 tsc.exe 04.11.2005 16:39 71.749 HCExtOutput.dll 04.11.2005 16:39 1.044.560 vsapi32.dll 04.11.2005 16:39 43.008 BPMNT.dll 04.11.2005 16:39 16.315.789 VPTNFILE.929 04.11.2005 16:39 16.315.789 LPT$VPN.929 04.11.2005 16:39 170 GetServer.ini 04.11.2005 16:39 507.904 TMUPDATE.DLL 04.11.2005 16:39 69.689 UNZIP.DLL 04.11.2005 16:39 286.720 PATCH.EXE 31.10.2005 11:20 49 NeroDigital.ini 27.10.2005 16:51 468.480 WRUninstall.dll 21.10.2005 15:55 684.032 libeay32.dll 21.10.2005 15:55 155.648 ssleay32.dll 17.10.2005 20:07 52 pu32i.ini 03.10.2005 10:27 3.932.214 ACD Wallpaper.bmp 01.10.2005 20:24 120 cconvert.ini 01.10.2005 03:23 16 SCN.ini 22.09.2005 13:35 99.970 UninstallFirefox.exe 22.09.2005 13:35 6.575 mozver.dat 07.07.2005 12:53 0 NC.INI ****** |
|
|
||
06.11.2005, 17:17
Moderator
Beiträge: 7805 |
#13
Kontrollier die Dateien
e:\temp\S.exe c:\windows\PATCH.EXE bitte hier http://virusscan.jotti.org/ Wie gesagt, mach ein Backup und setzt den PC neu auf. Sichere ihn besser, durch Router und aehnlichem. Denke daran, das Serv-u und vnc(du hast auf dem Rechner anscheinen auch den vnc Server laufen!) bei einigen Versionen bugy und exploitanfaellig ist! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2005, 17:36
...neu hier
Themenstarter Beiträge: 7 |
#14
beide Dateien sind laut der Web-Site in Ordung.
Ja neu den Rechner aufsetzen wäre sicher ne Möglichkeit die ich aber erst mal nicht in Betracht ziehen will weil das sehr lange Zeit in Anspruch nimmt. Cer VNC-Server wird nicht auf diesem Rechner gestartet. Serv-u ist eine aktuelle Version. |
|
|
||
06.11.2005, 17:49
Moderator
Beiträge: 7805 |
#15
Da laeuft doch irgendwo Acronis true image. HAst du nicht noch ein Backup, welches nicht infiziert ist?
Fix mal das: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Network DDE (NetDDE) - Unknown owner - C:\WINDOWS\system32\wbem\netdde32.exe (file missing) O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - E:\TEMP\_VWUPSRV.EXE (file missing) O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Du solltest dich fuer Sophos oder Antivir entscheiden. Im Zweifelsfalle nimm Antivir. Das SP2 musst du auch noch installieren. Einige der svv Meldungen koennen teilweise durch die Firewall kommen, da sie sich dort auch einklinkt. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
ich habe seit einiger Zeit Probleme mit meinem Rechner die ich nicht mehr losbekomme. Zuerst fiel mir auf dass mein Rechner nach einigen Minuten im Internet einen konstanten Upstream von bis zu 20kb/s erzeugt. Durch installieren Sygate PFW konnte ich den Upstream unterbinden. Nach Benutzung einiger Scanner tritt das Problem nicht mehr auf. Mein System is trotzdem nicht sauber. So habe ich bei weiteren Nachforschungen Tools gefunden die mir Hinweise auf Aktivitäten geben. Leider sind die Ergebnisse für mich nicht verwertbar, weil ich die Ursache nicht finde.
Ein weiteres Problem ist das ich Internet Connection Sharing nicht aktivieren kann. Folgende Fehlermeldung erscheint:
Netzwerkverbindung:
Gemeinsam genutzter Zugriff kann nicht aktiviert werden.
Fehler 1075: Der Abhängigkeitsdienst ist nicht vorhanden oder wurde zum Löschenmarkiert.
****************************
System Virginity Verifier
von http://invisiblethings.org/
E:\Install\SVV>svv check /a
WARNING: Service Table redirection detected
origKiServiceTbl: 0x804d4000 - 0x804d4500
currKiServiceTbl: 0x804fe7a8 - 0x804fec18
ntoskrnl.exe (804d4000 - 806bb000)... suspected! (verdict = 4).
pciide.sys (f7c2b000 - f7c2c000)... Wrong PE image format!
(f7595000 - f75ab000)... error code = 0x5
Null.SYS (f7d6e000 - f7d6f000)... error code = 0x490
mnmdd.SYS (f7b83000 - f7b85000)... error code = 0x490
RDPCDD.sys (f7b85000 - f7b87000)... error code = 0x490
tcpip.sys (f5a7e000 - f5ad1000)... suspected! (verdict = 5).
SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!
E:\Install\SVV>svv fix /a
WARNING: Service Table redirection detected
origKiServiceTbl: 0x804d4000 - 0x804d4500
currKiServiceTbl: 0x804fe7a8 - 0x804fec18
ntoskrnl.exe (804d4000 - 806bb000)... suspected! (verdict = 4).
pciide.sys (f7c2b000 - f7c2c000)... Wrong PE image format!
(f7595000 - f75ab000)... error code = 0x5
Null.SYS (f7d6e000 - f7d6f000)... error code = 0x490
mnmdd.SYS (f7b83000 - f7b85000)... error code = 0x490
RDPCDD.sys (f7b85000 - f7b87000)... error code = 0x490
tcpip.sys (f5a7e000 - f5ad1000)... suspected! (verdict = 5).
SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!
current verdict level: 5
target verdict level : 2
WARNING: DISINFECTION process can crash your system!
You are doing it ON YOUR OWN RISK!!!
Are you sure (yes/no)?
yes
---> fixing kernel & current process modules
fixing module ntoskrnl.exe... fixed.
fixing module tcpip.sys... fixed.
---> fixing foreign processes' modules
***************************
Nachdem ich das Tool habe laufen lassen wurden Verzeichnisse sichtbar, die ich nicht löschen kann, von denen ich aber von Rootkit Revealer weiss, dass sich darin Strukturen und Dateien befinden.
C:\WINDOWS\system32\drivers\knlps\
C:\WINDOWS\system32\spool\prtprocs\_0_
Log von Rootkit Revealer v1.56
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 07.07.2004 09:58 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 21.10.2005 10:43 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 31.10.2005 14:30 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\NetDDE 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 10.10.2005 16:10 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 21.10.2005 10:45 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_POLICYAGENT 26.06.2004 11:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCSS 26.06.2004 12:00 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\ClipSrv 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\eventlog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\NetDDE 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\PolicyAgent 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\RemoteAccess 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\NetDDE 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\NetDDEdsdm 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\PlugPlay 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\PolicyAgent 22.11.2004 10:21 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\RemoteAccess 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\RpcSs 22.11.2004 10:21 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\ClipSrv 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\ClipSrv 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIPSRV 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDE 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_POLICYAGENT 26.06.2004 11:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCSS 26.06.2004 12:00 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\ClipSrv 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\eventlog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\NetDDE 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\PolicyAgent 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\RemoteAccess 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\NetDDE 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\PlugPlay 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\PolicyAgent 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\RemoteAccess 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\RpcSs 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\ClipSrv 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\ClipSrv 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\RpcSs 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_CLIPSRV 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETDDE 16.10.2005 01:50 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_POLICYAGENT 26.06.2004 11:19 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_RPCSS 26.06.2004 12:00 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\ClipSrv 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\eventlog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\NetDDE 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\PolicyAgent 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\RemoteAccess 26.06.2004 11:05 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\NetDDE 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\PlugPlay 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\PolicyAgent 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\RemoteAccess 26.06.2004 11:14 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\RpcSs 28.10.2005 13:27 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\Vax347s\Config\jdgg40 24.10.2005 13:16 0 bytes Hidden from Windows API.
HKLM\SYSTEM\Setup\AllowStart\EventLog 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\Setup\AllowStart\PlugPlay 26.06.2004 12:01 0 bytes Hidden from Windows API.
HKLM\SYSTEM\Setup\AllowStart\Rpcss 26.06.2004 12:01 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps 16.10.2005 01:50 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul 16.10.2005 01:50 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr 16.10.2005 01:50 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin 18.10.2005 08:33 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_.exe 16.10.2005 01:50 38.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_1.bat 18.10.2005 08:32 2.96 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_1.lst 18.10.2005 08:32 18.06 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_2.bat 18.10.2005 08:32 4.71 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_2.exe 18.10.2005 08:32 92.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_bbt.exe 28.10.2005 13:29 81.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cc.exe 16.10.2005 01:50 102.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd.exe 16.10.2005 01:50 379.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd0131.txt 18.10.2005 08:32 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd0137.txt 18.10.2005 08:33 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd01370.txt 18.10.2005 08:33 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd29.txt 16.10.2005 09:12 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2931.txt 16.10.2005 04:49 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2932.txt 16.10.2005 04:56 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2934.txt 16.10.2005 06:29 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2935.txt 16.10.2005 06:59 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2936.txt 16.10.2005 06:59 42 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2937.txt 16.10.2005 07:02 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_cmd2939.txt 16.10.2005 07:18 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_du.exe 16.10.2005 01:50 27.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_findstr.exe 16.10.2005 01:50 25.50 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_handle.exe 16.10.2005 01:50 177.52 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_mbt.exe 28.10.2005 13:29 91.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_ntpass1.exe 16.10.2005 01:50 128.82 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_ntpass1a.exe 16.10.2005 01:50 129.11 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_ntpass2.exe 16.10.2005 01:50 133.52 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_ntpass2a.exe 16.10.2005 01:50 134.15 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_op.exe 16.10.2005 01:50 81.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_pse.exe 16.10.2005 01:50 104.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_psi.exe 16.10.2005 01:50 132.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_psk.exe 16.10.2005 01:50 112.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_psl.exe 16.10.2005 01:50 84.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_psll.exe 16.10.2005 01:50 64.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_pssd.exe 16.10.2005 01:50 120.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_reg.exe 16.10.2005 01:50 48.27 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_sc.exe 16.10.2005 01:50 61.77 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_scan.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_scl.exe 16.10.2005 01:50 10.27 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_stunnel.exe 28.10.2005 13:29 43.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_stunnel.pem 16.10.2005 01:50 2.73 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_tl.exe 16.10.2005 01:50 13.27 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_touch.exe 16.10.2005 01:50 35.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\_0_xcacls.exe 16.10.2005 01:50 44.00 KB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\libeay32.dll 16.10.2005 01:50 1.13 MB Hidden from Windows API.
C:\WINDOWS\system32\drivers\knlps\nul\usr\bin\libssl32.dll 16.10.2005 01:50 241.14 KB Hidden from Windows API.
C:\WINDOWS\system32\spool\prtprocs\_0_ 16.10.2005 01:47 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\spool\prtprocs\_0_\nul 13.07.2005 01:13 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\spool\prtprocs\_0_\nul\nul 16.10.2005 01:47 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\wbem\clipsvr.exe 16.10.2005 01:50 95.00 KB Hidden from Windows API.
C:\WINDOWS\system32\wbem\netdde32.exe 16.10.2005 01:50 13.00 KB Hidden from Windows API.