Trojanisches Pferd: mvrmzhilie.exe !!!

#0
19.06.2006, 10:31
...neu hier

Beiträge: 8
#1 Hallo ich hab ein großes Problem, heute beim Virenscan mit McAfee hat dieser das trojanische Pferd mvrmzhilie.exe gefunden und ist erstmal unter Quarantäne weil es sich nicht löschen will...arggghh..ich will den aber nicht auf dem Compi haben, gibts ne möglichkeit wie ich den ganz entfernen kann???

Würde sehr dankbar für Hilfe sein, bin nämlich was PC angeht ein totaler Laie und in totaler Panik...hier mal ein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:17:49, on 19.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\programme\mcafee.com\shared\mghtml.exe
C:\PROGRA~1\AVANTB~1\avant.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\india\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/intl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\programme\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee Privacy Service Popup Blocker - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\programme\mcafee.com\mps\popupkiller.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Windows Recylinder Check] mvrmzhilie.exe
O4 - HKLM\..\RunServices: [Windows Recylinder Check] mvrmzhilie.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\PROGRA~1\AVANTB~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\PROGRA~1\AVANTB~1\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\PROGRA~1\AVANTB~1\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\PROGRA~1\AVANTB~1\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\PROGRA~1\AVANTB~1\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\PROGRA~1\AVANTB~1\OpenAllLinks.htm
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC73F945-5560-4F82-8BAE-494D002AE36A}: NameServer = 213.191.92.87 213.191.74.19
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hoffe das ist jetzt richtig...dankeschön nochmal schon im vorraus!!!

L'G India
Seitenanfang Seitenende
19.06.2006, 13:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.06.2006, 14:27
...neu hier

Themenstarter

Beiträge: 8
#3 Ok, ich hab mal versucht alles zu machen wie du es mir gepostet hast, hoffe es ist richtig:

Datentr„ger in Laufwerk C: ist 451173
Volumeseriennummer: EC9E-D12B

Verzeichnis von C:\

19.06.2006 14:21 0 sys.txt
19.06.2006 14:21 10.670 system.txt
19.06.2006 14:20 727 systemtemp.txt
19.06.2006 14:18 91.723 system32.txt
19.06.2006 14:14 502.845.440 hiberfil.sys
19.06.2006 14:14 754.974.720 pagefile.sys
29.04.2006 08:47 211 boot.ini
28.04.2006 21:06 80 FilterLog.log
28.04.2006 11:02 27 expand.txt
05.04.2006 17:02 251.712 ntldr
05.04.2006 16:38 0 AUTOEXEC.BAT
05.04.2006 16:38 0 MSDOS.SYS
05.04.2006 16:38 0 IO.SYS
05.04.2006 16:38 0 CONFIG.SYS
04.04.2006 18:08 20.616 Prodlog.txt
04.04.2006 18:08 1.409 868000451173.dat
11.10.2004 07:18 19 LANG.TXT
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 2 oem.tag
13.03.2002 14:16 11 Language.txt
21 Datei(en) 1.258.249.883 Bytes
0 Verzeichnis(se), 141.880.295.424 Bytes frei

Datentr„ger in Laufwerk C: ist 451173
Volumeseriennummer: EC9E-D12B

Verzeichnis von C:\WINDOWS

19.06.2006 14:21 1.515.039 WindowsUpdate.log
19.06.2006 14:15 0 0.log
19.06.2006 14:15 4.880 ModemLog_PCI SoftV92 Data Fax Modem with SmartCP.txt
19.06.2006 14:14 2.048 bootstat.dat
19.06.2006 14:13 26.018 SchedLgU.Txt
19.06.2006 01:15 69 NeroDigital.ini
17.06.2006 00:02 151 PhotoSnapViewer.INI
16.06.2006 20:56 48.333 wmsetup.log
16.06.2006 18:33 917.986 setupapi.log
16.06.2006 14:33 1.830 spupdsvc.log
16.06.2006 14:29 199.704 comsetup.log
16.06.2006 14:29 90.906 iis6.log
16.06.2006 14:29 119.323 ntdtcsetup.log
16.06.2006 14:29 1.374 imsins.log
16.06.2006 14:29 225.470 tsoc.log
16.06.2006 14:29 31.665 ocmsn.log
16.06.2006 14:29 8.737 KB917734.log
16.06.2006 14:29 280.041 ocgen.log
16.06.2006 14:29 28.936 msgsocm.log
16.06.2006 14:29 593.097 FaxSetup.log
16.06.2006 14:29 1.374 imsins.BAK


Verzeichnis von C:\WINDOWS\system32

19.06.2006 14:16 59.168 Status.MPF
09.06.2006 07:02 63.152 perfc009.dat
09.06.2006 07:02 402.542 perfh009.dat
09.06.2006 07:02 76.066 perfc007.dat
09.06.2006 07:02 417.312 perfh007.dat
09.06.2006 07:02 970.772 PerfStringBackup.INI
09.06.2006 03:19 5.967.776 MRT.exe
08.06.2006 18:00 1.158 wpa.dbl
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:32 1.496.576 shdocvw.dll
19.05.2006 17:06 3.076.096 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
17.05.2006 11:23 579.888 LegitCheckControl.DLL
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:58 104.448 xpsp3res.dll
10.05.2006 07:26 39.424 pngfilt.dll
10.05.2006 07:26 669.184 wininet.dll
10.05.2006 07:26 532.480 mstime.dll


Datentr„ger in Laufwerk C: ist 451173
Volumeseriennummer: EC9E-D12B

Verzeichnis von C:\DOKUME~1\india\LOKALE~1\Temp

19.06.2006 14:16 16.384 Perflib_Perfdata_cb8.dat
19.06.2006 14:16 16.384 Perflib_Perfdata_d04.dat
19.06.2006 14:16 16.384 Perflib_Perfdata_ebc.dat
19.06.2006 14:15 16.384 Perflib_Perfdata_6b4.dat
19.06.2006 10:14 16.384 ~DFC412.tmp
17.06.2006 23:50 25.530 TFR51.tmp
16.06.2006 20:56 717 control.xml
15.06.2006 06:37 242 1F1205F7.TMP
13.06.2006 23:31 67.994 TFR3A.tmp
9 Datei(en) 176.403 Bytes
0 Verzeichnis(se), 141.880.291.328 Bytes frei


Ich hoffe Du kannst damit was anfangen und wäre dir wirklich sehr dankbar für deine hilfe!!!!!

LG Aredhel
Dieser Beitrag wurde am 19.06.2006 um 14:37 Uhr von Aredhel editiert.
Seitenanfang Seitenende
19.06.2006, 15:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll

O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Windows Recylinder Check] mvrmzhilie.exe
O4 - HKLM\..\RunServices: [Windows Recylinder Check] mvrmzhilie.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
PC neustarten

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{58906392-79C4-497C-ACC6-6942B59F1A08}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F86FFD86-1966-4C6C-99D9-44A6E7AB97E3}]
3.
Die Datei "fixme.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

4.
PC neustarten

5.
Macrogaming\SweetIMBarForIE deinstallieren

6.
Dr.Web
http://virus-protect.org/cureit.html

7.
Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren
%userprofile%\doctorweb\cureit.log
eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.06.2006, 17:27
...neu hier

Themenstarter

Beiträge: 8
#5 Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.03283)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-06-19, 16:34:11 [india]
Befehlszeilen-Schalter: "C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini

Suchmodul Version: 4.33 (4.33.3.06020)
API Version: 2.01
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 79 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43340.cdb - 822 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43339.cdb - 1071 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 68 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 41 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\cwn43303.cdb - 766 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 773 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge
Summe der Vireneinträge: 126383
Lizenzschlüssel: C:\DOKUME~1\india\LOKALE~1\Temp\RarSFX0\cureit.key
Lizenzchlüssel-Nummer: 0000000010
Registriert für:: Dr.Web CureIt Project
Lizenzschlüssel aktiviert!: 2005-03-05
Lizenzschlüssel wird ablaufen!: 2007-03-05


Prüfstatistiken

Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00


Prüfung vom Benutzer abgebrochen! - keine Viren gefunden

Prüfstatistiken

Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00


[Prüfpfad] c:\programme\mcafee.com\agent\mcdetect.exe
[Prüfpfad] c:\Musicbrigade\Musicbrigade.exe
[Prüfpfad] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
[Prüfpfad] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
[Prüfpfad] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe
[Prüfpfad] c:\programme\mcafee.com\mps\mcbrhlpr.dll
[Prüfpfad] c:\programme\mcafee.com\mps\popupkiller.dll
[Prüfpfad] c:\programme\mcafee\spamkiller\mcapfbho.dll
[Prüfpfad] c:\PROGRA~1\mcafee.com\vso\mcshield.exe
[Prüfpfad] c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
[Prüfpfad] C:\
C:\hiberfil.sys - Lesefehler
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee\SpamKiller\Logs\FILTER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\india\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\india\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\PERFLI~1.DAT - Lesefehler
C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\PERFLI~3.DAT - Lesefehler
C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\PERFLI~2.DAT - Lesefehler
C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\PERFLI~4.DAT - Lesefehler

Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\0NOMKZ0Y\x1pGHpas_o48lmFIOsEKzVVlELsVunAYIUMpCV1MmSg_1RoWnbSKYDU2umuEFjUCjQoabCzypb1PQ0db9ONP8p7D1arQFiAaQ-kh2Dp42pzwqiJZSy5xpYOhj_cTU5DYtyyi8HqcU4gzmXEesQJKFu0kA[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\0NOMKZ0Y\x1pGHpas_o48lmFIOsEKzVVlK-xnXTg46v2OrQjGdopEt6d30cwrUKz8TdUxSx0ZAU45_T2PvVqmI-Rk8oVigT0VFplP9teRwaZSeGpiWTRIzNhfELyIlNe5gfcuFsT0kyAeuYnioZIGMUxmu4J4W9xSQ[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\0NOMKZ0Y\x1pGHpas_o48lmFIOsEKzVVlK-xnXTg46v2OrQjGdopEt6OyzHLirvIyAqUMK2O4_Gf_EQdhanRQvHJL61PzOec3WrJ_Fvfbzyt2dUoKj3m4LM4wkXT3ZTRFqS2gGueHw6Lpe6YJrLpA25LIjD4KzEQJw[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\2FH5FZ3U\x1pGHpas_o48lmFIOsEKzVVlELsVunAYIUMpCV1MmSg_1RKak81nbBVml_aYe2YMkZ9OttavgKebj3sAWAVGdH8YHk-yZ2LTaw_gSOMWB-_CGgAhxUO79bHg_5VxT6KIz_A9nNXZ5yV6T7ZIFkeH828MQ[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\2FH5FZ3U\x1pGHpas_o48lmFIOsEKzVVlK-xnXTg46v2OrQjGdopEt4HK6_nSVE7a0khQ_3v9uUH7QrBkVSoAfyNKa3DtS2SIUSniJjUwKAkDy1cV39K3QLjJi8ZAx4jasi9mbcuPsd__8wOXB6_k4zvjWu27W3kvA[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\2FH5FZ3U\x1pGHpas_o48lmFIOsEKzVVlK-xnXTg46v2OrQjGdopEt6Me56PwCnM4vfiygtjx0QkS5susWt2mTrqcPUC02nnv65ihltUNf8o0tSQQ9OlewZ-Mu4h1idtiy3s-25Darh2Hryf2OvDM8d_2oxoa4rUFg[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\OPNKHAKQ\x1pGHpas_o48lmFIOsEKzVVlELsVunAYIUMpCV1MmSg_1REBQ2ITAV7IfgINW1fJJl4kqU3_ZXw07mCheS_yD2Ik4JMxzbuPHdZRdQKxWlkiSVPaXvBz-Mg4WK76qmxCANzmxccCII_8ORvHOnsBnSaYw[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\OPNKHAKQ\x1pGHpas_o48lmFIOsEKzVVlELsVunAYIUMpCV1MmSg_1Tf7GYDo76YF3UNg-Tdp8GE6XTJ8PoIrmgcAWY_vqcv7_QtzqMIhEsbW0iYmjaJ3bHbzc24rk7OF1m5IxUnhHQnTm2LAJFAr2iC-1GTsdhWVQ[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\OPNKHAKQ\x1pGHpas_o48lmFIOsEKzVVlK-xnXTg46v2OrQjGdopEt7uXzm7mSe6wcIhu4Sok8sVc6bqVJmonKW2O4-EIchSt3WZAy2PtdUOpjYXwmEfzNAXLmpSlHjsuVKmDAH4h213dgJIpxaGFAfdYL7VsVqgkg[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\V22NK6XT\x1pGHpas_o48lmFIOsEKzVVlELsVunAYIUMpCV1MmSg_1Qn-xkqp_uVfvAwq7A02YJ-AHdqvxqL_kELwbWWh8TwHDx855ATlnx7n_frlz7Pr3zOKh9FpUIk2jdnzvq5tnkrPMD5A1pSnARwE4bHPDGvYQ[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\V22NK6XT\x1pGHpas_o48lmFIOsEKzVVlELsVunAYIUMpCV1MmSg_1RwbSakS_IlMDTA4vV9ax7E5JaI1bjYOilQRrTDZfWhRcaittE1xlQVZY3igUNgBkdeW2QA_bmv1q5AQBuySErOdDRuVVp9kL1wqU7dLwzLnw[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\V22NK6XT\x1pGHpas_o48lmFIOsEKzVVlK-xnXTg46v2OrQjGdopEt7vTLBw3PHOEE3-HwcsmIklpXntzTVDg58QXKWrpuruu5bEzwJV1ktfj6DxkWTP5oE3E2XT66_eoFzTgRk6oFs0zhK3NGacaLSQkqkElv-R-A[1].bin
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
>C:\System Volume Information\_restore{D3DC4243-6FAB-4F69-905A-BD5932F89710}\RP45\A0006996.exe infiziert mit Win32.HLLW.MyBot.based - gelöscht
C:\WINDOWS\system32\config\default - Lesefehler
C:\WINDOWS\system32\config\default.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
C:\WINDOWS\system32\config\SAM.LOG - Lesefehler
C:\WINDOWS\system32\config\SECURITY - Lesefehler
C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler
C:\WINDOWS\system32\config\software - Lesefehler
C:\WINDOWS\system32\config\software.LOG - Lesefehler
C:\WINDOWS\system32\config\system - Lesefehler
C:\WINDOWS\system32\config\system.LOG - Lesefehler


Prüfstatistiken

Geprüfte Objekte: 125835
Infizierte Objekte gefunden: 1
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 1
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 132 Kb/s
Dauer:: 00:39:15
Seitenanfang Seitenende
19.06.2006, 23:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
beende alle Programme, schliesse auch das Internet

2.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

3.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 11:17
...neu hier

Themenstarter

Beiträge: 8
#7 hallo Sabina,

also ich hab den Kaspersky durchlaufen lassen und er sagt mir das er nix gefunden hat..ich würd das auch gern posten, aber ich find nichts wo ich da einen online scan kopieren kann..auch nicht per rechtsklick???

LG Aredhel
Seitenanfang Seitenende
20.06.2006, 11:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 wenn der kaspersky nichts mehr gefunden hat ..und die temporaeren Dateien geloescht sind, muesste wieder alles o.k. sein ;)

1.
scanne noch mal mit dr.web
mal sehen, ob diese Meldungen verschwunden sin:

Zitat

Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\0NOMKZ0Y\x1pGHpas_o48lmFIOsEKzVVlELsVunAYIUMpCV1MmSg_1RoWnbSKYDU2umuEFjUCjQoabCzypb1PQ0db9ONP8p7D1arQFiAaQ-kh2Dp42pzwqiJZSy5xpYOhj_cTU5DYtyyi8HqcU4gzmXEesQJKFu0kA[1].bin
Falscher Dateipfad C:\Dokumente und Einstellungen\india\Lokale Einstellungen\Temp\Temporary Internet...............
2.
wir schauen noch mal nach Rootkits...........

Bitte nutze Gmer .
http://virus-protect.org/artikel/tools/gmer.html
Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, waehle Copy und fuege den bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 12:00
...neu hier

Themenstarter

Beiträge: 8
#9 Rootkit

--------------------------------------------------------------------------------

Gmer detects rootkits. It scans for:

- hidden processes
- hidden files
- hidden services
- hidden registry keys
- hidden drivers
- drivers hooking SSDT (System Service Descriptor Table)
- drivers hooking IDT (Interrupt Descriptor Table)
- drivers hooking IRP (IO Request Packet) calls

You can see some scanning output samples here ...



hidden processes
Process hxdef100.exe (*** hidden *** ) 936
Process explorer.exe (*** hidden *** ) 1596

hidden files
File D:\WINDOWS\Prefetch\HXDEF100.EXE-04EC8234.pf
File E:\hx_def_100\hxdef100.2.ini
File E:\hx_def_100\hxdef100.exe
File E:\hx_def_100\hxdef100.ini
File E:\hx_def_100\hxdefdrv.sys
File D:\WINDOWS\system32\drivers\sysbus32.sys
File D:\WINDOWS\Prefetch\MAIN6.EXE-1BC7E02F.pf
File D:\WINDOWS\system32\drivers\isa32.sys
File D:\WINDOWS\system32\main6.exe

hidden services
Service D:\WINDOWS\System32\DRIVERS\sysbus32.sys (*** hidden *** ) [AUTO] sysbus32
Service D:\WINDOWS\System32\DRIVERS\isa32.sys [MANUAL] isa32

hidden registry kes

Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\sysbus32
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\sysbus32@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\sysbus32@ErrorControl 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\sysbus32@Start 2
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\sysbus32@ImagePath System32\DRIVERS\sysbus32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\sysbus32@ExtParam 0xF1 0x15 0x28 0xD4 ...
Reg \Registry\MACHINE\SYSTEM\ControlSet003\Services\sysbus32
Reg \Registry\MACHINE\SYSTEM\ControlSet003\Services\sysbus32@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet003\Services\sysbus32@ErrorControl 1
Reg \Registry\MACHINE\SYSTEM\ControlSet003\Services\sysbus32@Start 2
Reg \Registry\MACHINE\SYSTEM\ControlSet003\Services\sysbus32@ImagePath System32\DRIVERS\sysbus32.sys
Reg \Registry\MACHINE\SYSTEM\ControlSet003\Services\sysbus32@ExtParam 0xF1 0x15 0x28 0xD4 ...
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32@ErrorControl 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32@Start 2
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32@ImagePath System32\DRIVERS\sysbus32.sys
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32@ExtParam 0xF1 0x15 0x28 0xD4 ...

hidden drivers
drivers hooking SSDT

SSDT 8182860A ZwEnumerateKey
SSDT 818298B6 ZwQueryDirectoryFile

SSDT \SystemRoot\System32\DRIVERS\isa32.sys ZwEnumerateKey
SSDT \SystemRoot\System32\DRIVERS\isa32.sys ZwEnumerateValueKey
SSDT \SystemRoot\System32\DRIVERS\isa32.sys ZwQueryDirectoryFile

drivers hooking IDT

INT 0x2E \??\C:\driver\examples\strace.sys F7D812A0

drivers hooking IRP

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE 81828CEE
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE 81828CEE
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE 81828CEE
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE 81828CEE
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE 81828CEE

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE isa32.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSEIRP_MJ_READ isa32.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL isa32.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE isa32.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSEIRP_MJ_READ isa32.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL isa32.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE isa32.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSEIRP_MJ_READ isa32.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL isa32.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE isa32.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSEIRP_MJ_READ isa32.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL isa32.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE isa32.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSEIRP_MJ_READ isa32.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL isa32.sys


Rootkit He4hookInv

Device \FileSystem\Ntfs IRP_MJ_CREATE 816290B6
Device \FileSystem\Ntfs IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\Ntfs IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\Ntfs IRP_MJ_WRITE 816290B6
Device \FileSystem\Ntfs IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\Ntfs IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\Ntfs IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\Ntfs IRP_MJ_SET_EA 816290B6
Device \FileSystem\Ntfs IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\Ntfs IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\Ntfs IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\Ntfs IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\Ntfs IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\Ntfs IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\Ntfs IRP_MJ_CLEANUP 816290B6
Device \FileSystem\Ntfs IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\Ntfs IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\Ntfs IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\Ntfs IRP_MJ_POWER 816290B6
Device \FileSystem\Ntfs IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\Ntfs IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\Ntfs IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\Ntfs IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\Ntfs IRP_MJ_PNP 816290B6
Device \FileSystem\Ntfs IRP_MJ_PNP_POWER 816290B6
Device \FileSystem\Mup IRP_MJ_CREATE 816290B6
Device \FileSystem\Mup IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\Mup IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\Mup IRP_MJ_WRITE 816290B6
Device \FileSystem\Mup IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\Mup IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\Mup IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\Mup IRP_MJ_SET_EA 816290B6
Device \FileSystem\Mup IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\Mup IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\Mup IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\Mup IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\Mup IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\Mup IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\Mup IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\Mup IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\Mup IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\Mup IRP_MJ_CLEANUP 816290B6
Device \FileSystem\Mup IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\Mup IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\Mup IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\Mup IRP_MJ_POWER 816290B6
Device \FileSystem\Mup IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\Mup IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\Mup IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\Mup IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\Mup IRP_MJ_PNP 816290B6
Device \FileSystem\Mup IRP_MJ_PNP_POWER 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_CREATE 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_WRITE 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_QUERY_INFORMATION 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_SET_INFORMATION 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_QUERY_EA 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_SET_EA 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_FLUSH_BUFFERS 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_DEVICE_CONTROL 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_SHUTDOWN 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_LOCK_CONTROL 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_CLEANUP 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_CREATE_MAILSLOT 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_QUERY_SECURITY 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_SET_SECURITY 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_POWER 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_SYSTEM_CONTROL 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_DEVICE_CHANGE 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_QUERY_QUOTA 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_SET_QUOTA 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_PNP 816290B6
Device \Driver\Seri*hier nicht!* IRP_MJ_PNP_POWER 816290B6
Device \FileSystem\RAW IRP_MJ_CREATE 816290B6
Device \FileSystem\RAW IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\RAW IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\RAW IRP_MJ_WRITE 816290B6
Device \FileSystem\RAW IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\RAW IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\RAW IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\RAW IRP_MJ_SET_EA 816290B6
Device \FileSystem\RAW IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\RAW IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\RAW IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\RAW IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\RAW IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\RAW IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\RAW IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\RAW IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\RAW IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\RAW IRP_MJ_CLEANUP 816290B6
Device \FileSystem\RAW IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\RAW IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\RAW IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\RAW IRP_MJ_POWER 816290B6
Device \FileSystem\RAW IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\RAW IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\RAW IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\RAW IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\RAW IRP_MJ_PNP 816290B6
Device \FileSystem\RAW IRP_MJ_PNP_POWER 816290B6
Device \Driver\Parport IRP_MJ_CREATE 816290B6
Device \Driver\Parport IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \Driver\Parport IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \Driver\Parport IRP_MJ_WRITE 816290B6
Device \Driver\Parport IRP_MJ_QUERY_INFORMATION 816290B6
Device \Driver\Parport IRP_MJ_SET_INFORMATION 816290B6
Device \Driver\Parport IRP_MJ_QUERY_EA 816290B6
Device \Driver\Parport IRP_MJ_SET_EA 816290B6
Device \Driver\Parport IRP_MJ_FLUSH_BUFFERS 816290B6
Device \Driver\Parport IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \Driver\Parport IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \Driver\Parport IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \Driver\Parport IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \Driver\Parport IRP_MJ_DEVICE_CONTROL 816290B6
Device \Driver\Parport IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \Driver\Parport IRP_MJ_SHUTDOWN 816290B6
Device \Driver\Parport IRP_MJ_LOCK_CONTROL 816290B6
Device \Driver\Parport IRP_MJ_CLEANUP 816290B6
Device \Driver\Parport IRP_MJ_CREATE_MAILSLOT 816290B6
Device \Driver\Parport IRP_MJ_QUERY_SECURITY 816290B6
Device \Driver\Parport IRP_MJ_SET_SECURITY 816290B6
Device \Driver\Parport IRP_MJ_POWER 816290B6
Device \Driver\Parport IRP_MJ_SYSTEM_CONTROL 816290B6
Device \Driver\Parport IRP_MJ_DEVICE_CHANGE 816290B6
Device \Driver\Parport IRP_MJ_QUERY_QUOTA 816290B6
Device \Driver\Parport IRP_MJ_SET_QUOTA 816290B6
Device \Driver\Parport IRP_MJ_PNP 816290B6
Device \Driver\Parport IRP_MJ_PNP_POWER 816290B6
Device \Driver\ParVdm IRP_MJ_CREATE 816290B6
Device \Driver\ParVdm IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \Driver\ParVdm IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \Driver\ParVdm IRP_MJ_WRITE 816290B6
Device \Driver\ParVdm IRP_MJ_QUERY_INFORMATION 816290B6
Device \Driver\ParVdm IRP_MJ_SET_INFORMATION 816290B6
Device \Driver\ParVdm IRP_MJ_QUERY_EA 816290B6
Device \Driver\ParVdm IRP_MJ_SET_EA 816290B6
Device \Driver\ParVdm IRP_MJ_FLUSH_BUFFERS 816290B6
Device \Driver\ParVdm IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \Driver\ParVdm IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \Driver\ParVdm IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \Driver\ParVdm IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \Driver\ParVdm IRP_MJ_DEVICE_CONTROL 816290B6
Device \Driver\ParVdm IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \Driver\ParVdm IRP_MJ_SHUTDOWN 816290B6
Device \Driver\ParVdm IRP_MJ_LOCK_CONTROL 816290B6
Device \Driver\ParVdm IRP_MJ_CLEANUP 816290B6
Device \Driver\ParVdm IRP_MJ_CREATE_MAILSLOT 816290B6
Device \Driver\ParVdm IRP_MJ_QUERY_SECURITY 816290B6
Device \Driver\ParVdm IRP_MJ_SET_SECURITY 816290B6
Device \Driver\ParVdm IRP_MJ_POWER 816290B6
Device \Driver\ParVdm IRP_MJ_SYSTEM_CONTROL 816290B6
Device \Driver\ParVdm IRP_MJ_DEVICE_CHANGE 816290B6
Device \Driver\ParVdm IRP_MJ_QUERY_QUOTA 816290B6
Device \Driver\ParVdm IRP_MJ_SET_QUOTA 816290B6
Device \Driver\ParVdm IRP_MJ_PNP 816290B6
Device \Driver\ParVdm IRP_MJ_PNP_POWER 816290B6
Device \FileSystem\Rdbss IRP_MJ_CREATE 816290B6
Device \FileSystem\Rdbss IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\Rdbss IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\Rdbss IRP_MJ_WRITE 816290B6
Device \FileSystem\Rdbss IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\Rdbss IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\Rdbss IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\Rdbss IRP_MJ_SET_EA 816290B6
Device \FileSystem\Rdbss IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\Rdbss IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\Rdbss IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\Rdbss IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\Rdbss IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\Rdbss IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\Rdbss IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\Rdbss IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\Rdbss IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\Rdbss IRP_MJ_CLEANUP 816290B6
Device \FileSystem\Rdbss IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\Rdbss IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\Rdbss IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\Rdbss IRP_MJ_POWER 816290B6
Device \FileSystem\Rdbss IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\Rdbss IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\Rdbss IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\Rdbss IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\Rdbss IRP_MJ_PNP 816290B6
Device \FileSystem\Rdbss IRP_MJ_PNP_POWER 816290B6
Device \Driver\Parallel IRP_MJ_CREATE 816290B6
Device \Driver\Parallel IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \Driver\Parallel IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \Driver\Parallel IRP_MJ_WRITE 816290B6
Device \Driver\Parallel IRP_MJ_QUERY_INFORMATION 816290B6
Device \Driver\Parallel IRP_MJ_SET_INFORMATION 816290B6
Device \Driver\Parallel IRP_MJ_QUERY_EA 816290B6
Device \Driver\Parallel IRP_MJ_SET_EA 816290B6
Device \Driver\Parallel IRP_MJ_FLUSH_BUFFERS 816290B6
Device \Driver\Parallel IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \Driver\Parallel IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \Driver\Parallel IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \Driver\Parallel IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \Driver\Parallel IRP_MJ_DEVICE_CONTROL 816290B6
Device \Driver\Parallel IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \Driver\Parallel IRP_MJ_SHUTDOWN 816290B6
Device \Driver\Parallel IRP_MJ_LOCK_CONTROL 816290B6
Device \Driver\Parallel IRP_MJ_CLEANUP 816290B6
Device \Driver\Parallel IRP_MJ_CREATE_MAILSLOT 816290B6
Device \Driver\Parallel IRP_MJ_QUERY_SECURITY 816290B6
Device \Driver\Parallel IRP_MJ_SET_SECURITY 816290B6
Device \Driver\Parallel IRP_MJ_POWER 816290B6
Device \Driver\Parallel IRP_MJ_SYSTEM_CONTROL 816290B6
Device \Driver\Parallel IRP_MJ_DEVICE_CHANGE 816290B6
Device \Driver\Parallel IRP_MJ_QUERY_QUOTA 816290B6
Device \Driver\Parallel IRP_MJ_SET_QUOTA 816290B6
Device \Driver\Parallel IRP_MJ_PNP 816290B6
Device \Driver\Parallel IRP_MJ_PNP_POWER 816290B6
Device \Driver\Ptilink IRP_MJ_CREATE 816290B6
Device \Driver\Ptilink IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \Driver\Ptilink IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \Driver\Ptilink IRP_MJ_WRITE 816290B6
Device \Driver\Ptilink IRP_MJ_QUERY_INFORMATION 816290B6
Device \Driver\Ptilink IRP_MJ_SET_INFORMATION 816290B6
Device \Driver\Ptilink IRP_MJ_QUERY_EA 816290B6
Device \Driver\Ptilink IRP_MJ_SET_EA 816290B6
Device \Driver\Ptilink IRP_MJ_FLUSH_BUFFERS 816290B6
Device \Driver\Ptilink IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \Driver\Ptilink IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \Driver\Ptilink IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \Driver\Ptilink IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \Driver\Ptilink IRP_MJ_DEVICE_CONTROL 816290B6
Device \Driver\Ptilink IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \Driver\Ptilink IRP_MJ_SHUTDOWN 816290B6
Device \Driver\Ptilink IRP_MJ_LOCK_CONTROL 816290B6
Device \Driver\Ptilink IRP_MJ_CLEANUP 816290B6
Device \Driver\Ptilink IRP_MJ_CREATE_MAILSLOT 816290B6
Device \Driver\Ptilink IRP_MJ_QUERY_SECURITY 816290B6
Device \Driver\Ptilink IRP_MJ_SET_SECURITY 816290B6
Device \Driver\Ptilink IRP_MJ_POWER 816290B6
Device \Driver\Ptilink IRP_MJ_SYSTEM_CONTROL 816290B6
Device \Driver\Ptilink IRP_MJ_DEVICE_CHANGE 816290B6
Device \Driver\Ptilink IRP_MJ_QUERY_QUOTA 816290B6
Device \Driver\Ptilink IRP_MJ_SET_QUOTA 816290B6
Device \Driver\Ptilink IRP_MJ_PNP 816290B6
Device \Driver\Ptilink IRP_MJ_PNP_POWER 816290B6
Device \FileSystem\MRxSmb IRP_MJ_CREATE 816290B6
Device \FileSystem\MRxSmb IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\MRxSmb IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\MRxSmb IRP_MJ_WRITE 816290B6
Device \FileSystem\MRxSmb IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\MRxSmb IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\MRxSmb IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\MRxSmb IRP_MJ_SET_EA 816290B6
Device \FileSystem\MRxSmb IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\MRxSmb IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\MRxSmb IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\MRxSmb IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\MRxSmb IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\MRxSmb IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\MRxSmb IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\MRxSmb IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\MRxSmb IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\MRxSmb IRP_MJ_CLEANUP 816290B6
Device \FileSystem\MRxSmb IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\MRxSmb IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\MRxSmb IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\MRxSmb IRP_MJ_POWER 816290B6
Device \FileSystem\MRxSmb IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\MRxSmb IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\MRxSmb IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\MRxSmb IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\MRxSmb IRP_MJ_PNP 816290B6
Device \FileSystem\MRxSmb IRP_MJ_PNP_POWER 816290B6
Device \FileSystem\Npfs IRP_MJ_CREATE 816290B6
Device \FileSystem\Npfs IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\Npfs IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\Npfs IRP_MJ_WRITE 816290B6
Device \FileSystem\Npfs IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\Npfs IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\Npfs IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\Npfs IRP_MJ_SET_EA 816290B6
Device \FileSystem\Npfs IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\Npfs IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\Npfs IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\Npfs IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\Npfs IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\Npfs IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\Npfs IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\Npfs IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\Npfs IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\Npfs IRP_MJ_CLEANUP 816290B6
Device \FileSystem\Npfs IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\Npfs IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\Npfs IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\Npfs IRP_MJ_POWER 816290B6
Device \FileSystem\Npfs IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\Npfs IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\Npfs IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\Npfs IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\Npfs IRP_MJ_PNP 816290B6
Device \FileSystem\Npfs IRP_MJ_PNP_POWER 816290B6
Device \FileSystem\Msfs IRP_MJ_CREATE 816290B6
Device \FileSystem\Msfs IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\Msfs IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\Msfs IRP_MJ_WRITE 816290B6
Device \FileSystem\Msfs IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\Msfs IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\Msfs IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\Msfs IRP_MJ_SET_EA 816290B6
Device \FileSystem\Msfs IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\Msfs IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\Msfs IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\Msfs IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\Msfs IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\Msfs IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\Msfs IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\Msfs IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\Msfs IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\Msfs IRP_MJ_CLEANUP 816290B6
Device \FileSystem\Msfs IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\Msfs IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\Msfs IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\Msfs IRP_MJ_POWER 816290B6
Device \FileSystem\Msfs IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\Msfs IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\Msfs IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\Msfs IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\Msfs IRP_MJ_PNP 816290B6
Device \FileSystem\Msfs IRP_MJ_PNP_POWER 816290B6
Device \Driver\AFD IRP_MJ_CREATE 816290B6
Device \Driver\AFD IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \Driver\AFD IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \Driver\AFD IRP_MJ_WRITE 816290B6
Device \Driver\AFD IRP_MJ_QUERY_INFORMATION 816290B6
Device \Driver\AFD IRP_MJ_SET_INFORMATION 816290B6
Device \Driver\AFD IRP_MJ_QUERY_EA 816290B6
Device \Driver\AFD IRP_MJ_SET_EA 816290B6
Device \Driver\AFD IRP_MJ_FLUSH_BUFFERS 816290B6
Device \Driver\AFD IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \Driver\AFD IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \Driver\AFD IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \Driver\AFD IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \Driver\AFD IRP_MJ_DEVICE_CONTROL 816290B6
Device \Driver\AFD IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \Driver\AFD IRP_MJ_SHUTDOWN 816290B6
Device \Driver\AFD IRP_MJ_LOCK_CONTROL 816290B6
Device \Driver\AFD IRP_MJ_CLEANUP 816290B6
Device \Driver\AFD IRP_MJ_CREATE_MAILSLOT 816290B6
Device \Driver\AFD IRP_MJ_QUERY_SECURITY 816290B6
Device \Driver\AFD IRP_MJ_SET_SECURITY 816290B6
Device \Driver\AFD IRP_MJ_POWER 816290B6
Device \Driver\AFD IRP_MJ_SYSTEM_CONTROL 816290B6
Device \Driver\AFD IRP_MJ_DEVICE_CHANGE 816290B6
Device \Driver\AFD IRP_MJ_QUERY_QUOTA 816290B6
Device \Driver\AFD IRP_MJ_SET_QUOTA 816290B6
Device \Driver\AFD IRP_MJ_PNP 816290B6
Device \Driver\AFD IRP_MJ_PNP_POWER 816290B6
Device \FileSystem\Fastfat IRP_MJ_CREATE 816290B6
Device \FileSystem\Fastfat IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\Fastfat IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\Fastfat IRP_MJ_WRITE 816290B6
Device \FileSystem\Fastfat IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\Fastfat IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\Fastfat IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\Fastfat IRP_MJ_SET_EA 816290B6
Device \FileSystem\Fastfat IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\Fastfat IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\Fastfat IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\Fastfat IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\Fastfat IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\Fastfat IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\Fastfat IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\Fastfat IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\Fastfat IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\Fastfat IRP_MJ_CLEANUP 816290B6
Device \FileSystem\Fastfat IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\Fastfat IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\Fastfat IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\Fastfat IRP_MJ_POWER 816290B6
Device \FileSystem\Fastfat IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\Fastfat IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\Fastfat IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\Fastfat IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\Fastfat IRP_MJ_PNP 816290B6
Device \FileSystem\Fastfat IRP_MJ_PNP_POWER 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_CREATE 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_CREATE_NAMED_PIPE 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_CLOSEIRP_MJ_READ 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_WRITE 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_QUERY_INFORMATION 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_SET_INFORMATION 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_QUERY_EA 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_SET_EA 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_FLUSH_BUFFERS 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_QUERY_VOLUME_INFORMATION 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_SET_VOLUME_INFORMATION 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_DIRECTORY_CONTROL 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_FILE_SYSTEM_CONTROL 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_DEVICE_CONTROL 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_INTERNAL_DEVICE_CONTROL 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_SHUTDOWN 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_LOCK_CONTROL 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_CLEANUP 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_CREATE_MAILSLOT 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_QUERY_SECURITY 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_SET_SECURITY 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_POWER 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_SYSTEM_CONTROL 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_DEVICE_CHANGE 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_QUERY_QUOTA 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_SET_QUOTA 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_PNP 816290B6
Device \FileSystem\Fs_Rec IRP_MJ_PNP_POWER 816290B6





Copyright (c) GMER 2004 - 2006
hier mal der Scan von Rootkit

Liebe Grüße
Aredhel
Seitenanfang Seitenende
20.06.2006, 12:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ich weiss nicht, ob du nur ein Beispiel abkopiert hast...nun wir schauen mal nach ;)

1.
kopiere in den Avenger:
http://virus-protect.org/artikel/tools/avenger.html

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32

Files to delete:
D:\WINDOWS\System32\DRIVERS\sysbus32.sys
D:\WINDOWS\System32\DRIVERS\isa32.sys
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 12:28
...neu hier

Themenstarter

Beiträge: 8
#11 Entschuldigung, aber ich weiß nicht, wie ich das Zitat in den Avenger bekommen soll..drück ich die Grüne ampel..sagt er mir sorry geht nicht ???

Entschuldigung das ich mich so blöd anstelle, aber ich hab null plan gerade..argggghhh

LG euladie
Seitenanfang Seitenende
20.06.2006, 12:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 oeffne: "imput script manually -> dort kopierst du den text rein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 12:52
...neu hier

Themenstarter

Beiträge: 8
#13 So, ich glaub jetzt hab ich es...*gg*

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\eidfmjqn

*******************

Script file located at: \??\C:\WINDOWS\system32\qxwoihdq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32
Status: 0xc0000034



Could not open file D:\WINDOWS\System32\DRIVERS\sysbus32.sys for deletion
Deletion of file D:\WINDOWS\System32\DRIVERS\sysbus32.sys failed!

Could not process line:
D:\WINDOWS\System32\DRIVERS\sysbus32.sys
Status: 0xc000003a



Could not open file D:\WINDOWS\System32\DRIVERS\isa32.sys for deletion
Deletion of file D:\WINDOWS\System32\DRIVERS\isa32.sys failed!

Could not process line:
D:\WINDOWS\System32\DRIVERS\isa32.sys
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

LG Aredhel
Seitenanfang Seitenende
20.06.2006, 12:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ich denke, du hattest ein Beispiel-Log abkopiert ;)
dein PC ist wieder clean .
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2006, 13:03
...neu hier

Themenstarter

Beiträge: 8
#15 Oh ehrlich??? Wow..ich bin platt..hab vielen vielen Dank für deine unermüdliche Hilfe..ohne dich hätte ich nicht gewußt was ich machen soll..dankeschön, dankeschön, dankeschön....das ist soooo toll und lieb von Dir!!!!!!!!

Ganz liebe grüße
Aredhel
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: