Shell32.exe - Backdoorprogrammes Bds/aimbot.bo

#1

Zitat

Hallo Sabine,

ich habe mal ein paar Beiträge gelesen, in denen Du immer sehr hilfbereit warst bzw. oft als "Retter in der Not" bezeichnet wurdest.

Vielleicht kannst Du mit bei einer Virus-meldung von Antivir helfen:

C:\WINDOWS\SYSTEM32\SHELL32.EXE
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Aimbot.BO

Hijack sagt folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 22:01:42, on 19.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QKeys\QKeys.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\EPSON\Creativity Suite\PageManager\PMSB.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\SMC2536W-AG Wireless LAN Utility\WLANNIC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\shell32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Axel\LOKALE~1\Temp\Rar$EX04.510\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\EuroMaster Data\routcnf.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Scan Buttons] C:\Programme\EPSON\Creativity Suite\PageManager\PMSB.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SMC2536W-AG WLAN Utility.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range: http://192.168.2.1
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: Microsoft Windows Explorer Shell Subsystem (Shell32Extender) - Unknown owner - C:\WINDOWS\system32\shell32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Security Accounts Sharing (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)

Kannst Du mir helfen? Wär Dir echt klasse!

Gruß Axel

__________
MfG Sabina

rund um die PC-Sicherheit

#2
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein

- Microsoft Windows Explorer Shell Subsystem (Shell32Extender)
- Security Accounts Sharing (WksPatch)

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Shell32Extender und WksPatch" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"X " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren


Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Microsoft Windows Explorer Shell Subsystem

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

Security Accounts Sharing

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo, anbei die Ergebnisse:

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Jan 21, 2006 17:43:06


---> Begin Service Listing <---


Unknown Service # 5
Service Name: Shell32Extender
Display Name: Microsoft Windows Explorer Shell Subsystem
Start Mode: Disabled
Start Name: LocalSystem
Description: This service controls the Windows Explorer GUI. If this service ...
Service Type: Own Process
Path: "c:\windows\system32\shell32.exe"
State: Running
Process ID: ...
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 8
Service Name: WksPatch
Display Name: Security Accounts Sharing
Start Mode: Disabled
Start Name: LocalSystem
Description: Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende ...
Service Type: Own Process
Path: c:\windows\system32\drivers\svchost.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 86 Win32 services on this machine.
8 were unrecognized.

Script Execution Time: 2,894531 seconds.

"no instances of regsrch.vbs found"

Sehe noch keinen Fortschritt - irgendwelche Ideen?

Gruß

#4 Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

Microsoft Windows Explorer Shell Subsystem

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

Security Accounts Sharing

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 H Sabina,

Anbei nun auch die ergebnisse von regsrch ;-)

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Microsoft Windows Explorer Shell Subsystem" 24.01.2006 22:36:47

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHELL32EXTENDER\0000]
"DeviceDesc"="Microsoft Windows Explorer Shell Subsystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Shell32Extender]
"DisplayName"="Microsoft Windows Explorer Shell Subsystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SHELL32EXTENDER\0000]
"DeviceDesc"="Microsoft Windows Explorer Shell Subsystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Shell32Extender]
"DisplayName"="Microsoft Windows Explorer Shell Subsystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHELL32EXTENDER\0000]
"DeviceDesc"="Microsoft Windows Explorer Shell Subsystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Shell32Extender]
"DisplayName"="Microsoft Windows Explorer Shell Subsystem"


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Security Accounts Sharing" 24.01.2006 22:38:10

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000]
"DeviceDesc"="Security Accounts Sharing"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch]
"DisplayName"="Security Accounts Sharing"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000]
"DeviceDesc"="Security Accounts Sharing"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WksPatch]
"DisplayName"="Security Accounts Sharing"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000]
"DeviceDesc"="Security Accounts Sharing"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch]
"DisplayName"="Security Accounts Sharing"

Was kann man anhand dieser Auswertung erkennen?
Würdest Du empfehlen, die Maschine neu aufzusetzen?

#6 Formatieren...ja , es waere empfehlenswert, denn der pC ist verseucht. Nur wenn es wirklich unumgaenglich ist, reinigen wir
Mich interessiert die Routine von diesem Backdoor...schauen wir also mal nach:
(und mache nichts im Net, was irgendwie "wichtig" ist...also kein Onlinebanking und aehnliches....

-------------------------------------------------------------------------------
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

danke für den Hinweis mit den persönlichen Daten. Die Nutzung von Mozilla (Standardbrowser) und Zonealarm (jetzt reaktiviert) helfen da auch nicht?

habe cleanup durchgeführt und unten sind die ergebnisse von datfind.
Irgendwas erkennbar?
Woher weis ich, dass der Trojaner (noch) aktiv ist? Wo verbirgt sich der Trojaner, denn wäre reine Zeitverschwendung, den Computer neu aufzusetzen und dann festzustellen, dass ich ihn in der Datensicherung mit rüberkopiert habe.

Was ist ein ausreichender Schutz in Zukunft?


Verzeichnis von C:\WINDOWS\system32

25.01.2006 20:24 890 vsconfig.xml
22.01.2006 20:50 13.646 wpa.dbl
21.01.2006 15:56 4.212 zllictbl.dat
20.01.2006 18:38 40.326 perfc009.dat
20.01.2006 18:38 311.938 perfh009.dat
20.01.2006 18:38 48.552 perfc007.dat
20.01.2006 18:38 317.168 perfh007.dat
20.01.2006 18:38 723.744 PerfStringBackup.INI
20.01.2006 08:08 251 spupdwxp.log
20.01.2006 08:07 130.888 FNTCACHE.DAT
19.01.2006 21:17 0 eraseme_63784.exe
05.01.2006 18:39 0 TFTP3716
29.12.2005 03:54 280.064 gdi32.dll
22.12.2005 17:17 183.296 shell32.exe
22.11.2005 23:50 151.566 UninstIPP.isu
13.10.2005 00:11 15.584 spmsg.dll
08.02.2005 00:00 27.648 escimg.dll
08.02.2005 00:00 32.768 esccm.dll
08.02.2005 00:00 30.208 escwiab.dll
26.01.2005 03:48 63.256 zlcommdb.dll
26.01.2005 03:48 71.448 zlcomm.dll

Verzeichnis von C:\DOKUME~1\Axel\LOKALE~1\Temp

25.01.2006 20:23 0 TWAIN.LOG
25.01.2006 20:23 2 Twain001.Mtx
25.01.2006 20:22 222 jusched.log
3 Datei(en) 224 Bytes
0 Verzeichnis(se), 1.881.575.424 Bytes frei


Verzeichnis von C:\WINDOWS

25.01.2006 20:55 1.932 WindowsUpdate.log
25.01.2006 20:55 8.601 mozver.dat
25.01.2006 20:23 159 wiadebug.log
25.01.2006 20:23 50 wiaservc.log
25.01.2006 20:22 0 0.log
25.01.2006 20:22 2.048 bootstat.dat
25.01.2006 20:21 32.630 SchedLgU.Txt
20.01.2006 08:11 1.347 OEWABLog.txt
20.01.2006 08:10 733.371 setuplog.txt
20.01.2006 08:10 29.039 spupdsvc.log
20.01.2006 08:09 360 DtcInstall.log
20.01.2006 08:09 120.162 wmsetup.log
20.01.2006 08:09 316.640 WMSysPr9.prx
20.01.2006 08:09 12.364 iis6.log
20.01.2006 08:09 39.823 comsetup.log
20.01.2006 08:09 25.134 ntdtcsetup.log
20.01.2006 08:09 5.784 ocmsn.log
20.01.2006 08:09 43.791 tsoc.log
20.01.2006 08:09 4.696 imsins.log
20.01.2006 08:09 5.648 msgsocm.log
20.01.2006 08:09 81.493 ocgen.log
20.01.2006 08:09 87.888 FaxSetup.log
20.01.2006 08:09 854.489 setupapi.log
20.01.2006 08:06 499.373 svcpack.log
20.01.2006 08:06 1.374 imsins.BAK
20.01.2006 01:37 203.952 KB912919.log
20.01.2006 01:37 460 updspapi.log
20.01.2006 01:28 200 cmsetacl.log
20.01.2006 01:27 1.330 sessmgr.setup.log
20.01.2006 00:57 573 medctroc.Log
19.01.2006 21:27 439 system.ini
18.01.2006 18:52 1.125 winamp.ini
17.01.2006 22:58 24 mainser
05.01.2006 18:53 16.478 ModemLog_Smart Link 56K Modem.txt
28.12.2005 01:15 2.818 tm.ini
25.12.2005 12:47 790 stwin05.ini
25.12.2005 12:46 336 d2hnav.ini
25.11.2005 13:44 738 win.ini
22.11.2005 23:46 257 setup.iss
17.11.2005 00:25 165.233 EPSTPLOG.TXT
17.11.2005 00:22 62 EPSMTL32.TXT
17.11.2005 00:21 99.748 EPSTPLOG.BAK
17.11.2005 00:17 25 CDEALCX11Euro.ini
17.11.2005 00:16 8.802 Windows Update.log
20.06.2005 22:04 808 stwin03.ini
03.04.2005 16:03 805 stwin04.ini
15.01.2005 18:53 0 ROUTE
14.01.2005 22:04 76.890 DirectX.log
14.01.2005 20:41 61.960 dasetup.log
14.01.2005 20:41 4.335 ODBCINST.INI
14.01.2005 20:38 6.416 KB829558.log
14.01.2005 20:35 477 ODBC.INI
01.12.2004 10:58 372.118 ntbtlog.txt
03.10.2004 19:40 31.329 SetupWLD.log
03.10.2004 18:53 0 PROSet.INI
28.09.2004 18:59 101 SelectFile.ini
28.09.2004 18:57 2.275 QKeys Setup Log.txt
28.09.2004 18:56 720.896 iun6002.exe
27.09.2004 17:46 823 nsw.log
20.09.2004 21:30 380 Capictrl.INI
20.09.2004 21:18 59 WINPHONE.INI
27.08.2004 10:44 176.357 setupact.log
04.08.2004 00:58 288.768 winhlp32.exe
04.08.2004 00:58 153.600 regedit.exe
04.08.2004 00:58 70.144 notepad.exe
04.08.2004 00:57 10.752 hh.exe
04.08.2004 00:57 1.035.264 explorer.exe
04.08.2004 00:57 50.688 twain_32.dll


Verzeichnis von C:\

25.01.2006 21:04 0 sys.txt
25.01.2006 21:04 6.126 system.txt
25.01.2006 21:04 381 systemtemp.txt
25.01.2006 21:02 94.317 system32.txt
25.01.2006 20:22 805.306.368 pagefile.sys
20.01.2006 01:28 222 boot.ini
20.01.2006 01:09 47.564 NTDETECT.COM
20.01.2006 01:09 251.184 ntldr
24.02.2004 21:22 0 IO.SYS
24.02.2004 21:22 0 CONFIG.SYS
24.02.2004 21:22 0 AUTOEXEC.BAT
24.02.2004 21:22 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin
13 Datei(en) 805.711.114 Bytes
0 Verzeichnis(se), 1.881.575.424 Bytes frei

#8 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHELL32EXTENDER\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Shell32Extender]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SHELL32EXTENDER\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Shell32Extender]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHELL32EXTENDER\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Shell32Extender]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WksPatch]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch]

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:

C:\WINDOWS\system32\eraseme_63784.exe
C:\WINDOWS\system32\TFTP3716
C:\WINDOWS\iun6002.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

---------------------------------------------------------------------------

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Habe eben alle die Hinweise umgesetzt.
Weis nicht, ob das ganze im abgesicherten modus war: Hatte in erinnerung, dass er immer angezeigt wird - egal.
Es gab keine log-datei auf dem desktop und blbeta hat nichts gefunden.

Was nun?

#10 fuehre Registry Search noch mal aus...und poste die logs ..ich will sehen, ob die reg-Datei Wirkung gezeigt hat .
__________
MfG Sabina

rund um die PC-Sicherheit

#11 unter Laufwerk D nichts gefunden und
unter Laufwerk C 3 Einträge:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000]
"DeviceDesc"="Security Accounts Sharing"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000]
"DeviceDesc"="Security Accounts Sharing"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000]
"DeviceDesc"="Security Accounts Sharing"

Welche wirkung?

Gruß Axel.

#12 Microsoft Windows Explorer Shell Subsystem --> wurde nichts mehr angezeigt ???
------------------------------------------------------------------------

ueberpruefe, ob das gleoscht ist:
C:\WINDOWS\system32\eraseme_63784.exe
C:\WINDOWS\system32\TFTP3716--> ich hatte den \ vergessen...es kann also sein, dass es noch nicht geloescht ist.....
C:\WINDOWS\iun6002.exe


Start-->Ausfuehren--> regedit

bearbeiten--> suchen--> WKSPATCH

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000]

PC neustarten

scanne mit allen 4 Scannern, dannn starte den PC neu.
http://virus-protect.org/multiavtool.html

suche die Scanreporte in C:\AV-CLS, dort die Scanreporte, falls etwas gefunden/geloescht wurde...kopiere es hier
__________
MfG Sabina

rund um die PC-Sicherheit