RootkitRevealer findet "InprocServer32*"; was ist das?

#0
11.08.2006, 13:57
...neu hier

Beiträge: 6
#1 Hallo an alle Experten und Expertinnen,

ich habe den RootkitRevealer eingesetzt; er fand einige Dateien, die alle mit "InprocServer32*" enden in der Registierung unter Software\Classes\CLCID.
Ich hab schon versucht, die Dinger zu löschen, aber es wird angegeben, dass dabei ein Fehler auftritt. Ich hab auch schon mit dem "Process Explorer" nach auffälligen exe.Dateien gesucht, aber nichts gefunden.
Auch im abgesicherten Modus kann ich die Dateien nicht löschen, weil wieder Fehler gemeldet wird.
Sind die vielleicht gar nicht schädlich? Oder verhindert irgendwas die Löschung, das "böse" sein könnte?
Im I-Net fand ich keine Beschreibung des "Inproc", außer eine auf englisch und die sagt, es sei bösartig.
Seitenanfang Seitenende
11.08.2006, 14:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 poste mal hier den report vom scan
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.08.2006, 20:12
...neu hier

Themenstarter

Beiträge: 6
#3 Es werden 7 Dateien angezeigt in:

HKLM\Software\Classes\CLCID\

und nun folgen dazu jeweils:

{C09C5BC9-8988-338f-1129-c266fd62c15f}\InprocServer32*

{C09C5BC9-8999-6c1f-26f0-f657fd62c15f}\InprocServer32*

{C09C5BC9-8988-718b-5dd8-74a4fd62c15f}\InprocServer32*

{C09C5BC9-8988-7d76-a9f8-81c7fd62c15f}\InprocServer32*

{C09C5BC9-8988-8559-72c1-44b4fd62c15f}\ImprocServer32*

{C09C5BC9-8988-f226-5d81-5674fd62c15f}\ImprocServer32*

{C09C5BC9-8988-f3ff-0c82-35abfd62c15f}\ImprogServer32*


Danke für die Hilfe! Es mag vielleicht nichts sein, aber da ich mich nicht auskenne, würde ich doch gerne wissen, was es ist.
Seitenanfang Seitenende
11.08.2006, 22:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-338f-1129-c266fd62c15f}
HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8999-6c1f-26f0-f657fd62c15f}
HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-718b-5dd8-74a4fd62c15f}
HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-7d76-a9f8-81c7fd62c15f}
HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-8559-72c1-44b4fd62c15f}
HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-f226-5d81-5674fd62c15f}
HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-f3ff-0c82-35abfd62c15f}

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.08.2006, 11:44
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabine,

das log von avenger zeigt an, es gäbe nichts, aber der rootkit revealer zeigt es weiter an.
Können die Schlüssel angezeigt werden, obwohl sie nicht (mehr) da sind?

Besten Gruß - Ilka


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tdmbdxvw

*******************

Script file located at: \??\C:\WINDOWS\system32\qreykdve.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-338f-1129-c266fd62c15f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-338f-1129-c266fd62c15f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-6c1f-26f0-f657fd62c15f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-6c1f-26f0-f657fd62c15f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-718b-5dd8-74a4fd62c15f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-718b-5dd8-74a4fd62c15f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-7d76-a9f8-81c7fd62c15f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-7d76-a9f8-81c7fd62c15f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-8559-72c1-44b4fd62c15f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-8559-72c1-44b4fd62c15f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-f226-5d81-5674fd62c15f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-f226-5d81-5674fd62c15f} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-f3ff-0c82-35abfd62c15f} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLCID\{C09C5BC9-8988-f3ff-0c82-35abfd62c15f} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
12.08.2006, 12:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ich moechte, dass du mir das Original-Log vom Revealer hier kopierst..
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.08.2006, 12:51
...neu hier

Themenstarter

Beiträge: 6
#7 hier ist es...


HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-338f-1129-c266fd62c15f}\InprocServer32* 15.07.2006 12:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6c1f-26f0-f657fd62c15f}\InprocServer32* 15.07.2006 12:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-718b-5dd8-74a4fd62c15f}\InprocServer32* 15.07.2006 12:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-7d76-a9f8-81c7fd62c15f}\InprocServer32* 15.07.2006 12:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-8559-72c1-44b4fd62c15f}\InprocServer32* 15.07.2006 12:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-f226-5d81-5674fd62c15f}\InprocServer32* 15.07.2006 12:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-f3ff-0c82-35abfd62c15f}\InprocServer32* 15.07.2006 12:37 0 bytes Key name contains embedded nulls (*)
Seitenanfang Seitenende
12.08.2006, 12:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
06.09.2006, 16:56
Member

Beiträge: 11
#9 Hallo Leute, bin neu hier und komme schon mit einem Problem,

ich habe auch den InprocServer32 (o.a.) auf meinem Rechner. Das sagte mir der Rootkitrevealer von SI.
Das mit dem regdelnull funktioniert allerdings bei mir nicht, ich erhalte die Meldung, das entweder die Schreibweise nicht richtig sei oder die regdelnull nicht gefunden werden konnte. ???
Desweiteren habe ich schon einiges recherchiert und auch mit anderen Tools gearbeitet. So z.B. mit Blacklight von F - Secure - keineen Fund. Hookanalyer hab ich auch mal getestet. Dann IceSword ausprobiert und der fand folgendes bei den Treibern:
1. 4 X wpsdrvnt.sys - ???
2. 2 X ParProc.sys - verm. von meiner Software Panda True Prevent??
3. 4 X ShldDrv.sys - könnte von der Sygate Firewall sein ????????

Da mein Log von Rootkitrevealer außer dem InprocServer32 mit den enbeded O noch zwei andere Positionen beanstandet hat, poste ich mal meinen Log.
Der hjthis Log ist nach autom. Auswertung im dort. Forum o.B. und sauber.
Auf der Seite von invisiblethings.org war ich auch schon und hab mal versucht den virginity verifier auszuprobieren, das funktioniert aber auch nicht so richtig.
Format C ist schnell gemacht, hab auch noch nen schönes lauffähiges Image von Acronis da rumliegen, aber ggf. kann mir ja hier geholfen werden und das Ganze ist ja gar nicht so schlimm:

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 23.10.2005 00:37 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 20.10.2005 20:13 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 03.09.2006 17:16 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 03.09.2006 17:16 4 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 05.08.2006 16:13 258 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 05.08.2006 16:13 114 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\spool\PRINTERS\FP00003.SHD 03.09.2006 17:26 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\spool\PRINTERS\FP00003.SPL 03.09.2006 17:26 0 bytes Visible in Windows API, but not in MFT or directory index.

P.S.: Der Eintrag von GAC ist verm. von Panda True Prevent, da der Log vor der Installation von dieser Siherheitssoftware noch nicht da war. In einem anderen Forum habe ich gelesen, daß die Software einen Proxy installiert. Aber der Rest ist mir noch nicht ganz klar ???

Danke für die Hilfe bereits im Vorraus

MfG Rödelhennes
Seitenanfang Seitenende
06.09.2006, 23:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Rödelhennes

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 13:28
Member

Beiträge: 11
#11 Hallo Sabina,
ich glaub ich habe zuviele Sicherheitstools auf meinem Rechner.
Das o.a. Script wollte ich mal hecken, erhielt alleerdings die Meldung :
Der Zugriff auf dei WD Script Host wurde für diesen Compi deaktiviert !
Bitte wenden Sie sich an Ihren Admin !

Nun ich bin der Admin, aber glaubts Du mir, daß ich an Alzheimer leide?

Benutze u.a. Tools wie Safe XP, oder Spybot, Adaware, Pest Patrol, Panda True Prevent, BitDefenderFree Version, Spy Sweeper, Anti Vir Prof., Sygate Firewall, XP Antispy, und Spyware Blaaster, Spyware Guard (von Sysinternals) Local Port Scanner (LPS) TCP, PrcView und noch mehr........ läuft zusammen alles ganz gut und einmal im Monat mach ich einen Komplettcheck (u.a. mit Hitman Pro / PC Welt).

Leider weiß ich als DAU allerdings nicht, wo ich den Zugriff auf die Script Host wieder manuell oder über eines meiner tollen Proggis wiederherstelle, sorry ???!!!

MfG RH
Seitenanfang Seitenende
15.09.2006, 13:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ganz unten auf der seite ist es erklaert
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 15:19
Member

Beiträge: 11
#13 Hei Sabina,
hab es hinbekommen, und hier der Log:
The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Sep 15, 2006 15:12:40


===> Begin Service Listing <===

Unknown Service #1
Service Name: AcrSch2Svc
Display Name: Acronis Scheduler2 Service
Start Mode: Auto
Start Name: LocalSystem
Description: Erlaubt Acronis Produkten, geplante Tasks automatisch auf diesem Computer auszuführen. Wenn dieser ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\acronis\schedule2\schedul2.exe"
State: Running
Process ID: 1764
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirMailService
Display Name: AntiVir PersonalEdition Premium MailGuard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet Email-Programmen permanenten Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition premium\avmailc.exe
State: Running
Process ID: 4020
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 3
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Premium Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition premium\sched.exe
State: Running
Process ID: 1888
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 4
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Premium Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition premium\avguard.exe
State: Running
Process ID: 3232
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #5
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: AVEService
Display Name: AntiVir PersonalEdition Premium MailGuard Hilfsdienst
Start Mode: Auto
Start Name: LocalSystem
Description: Hilfsdienst für den AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition premium\avesvc.exe
State: Running
Process ID: 904
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 7
Service Name: AVM IGD CTRL Service
Display Name: AVM IGD CTRL Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\fritz!dsl\igdctrl.exe
State: Running
Process ID: 1924
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 8
Service Name: bdss
Display Name: BitDefender Scan Server
Start Mode: Auto
Start Name: LocalSystem
Description: Prüft Medien vor Viren und anderen ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\softwin\bitdefender scan server\bdss.exe" /service
State: Running
Process ID: 2968
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 9
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: de_serv
Display Name: AVM FRITZ!web Routing Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\avm\de_serv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #12
Service Name: iPodService
Display Name: iPodService
Start Mode: Manual
Start Name: LocalSystem
Description: iPod hardware management ...
Service Type: Own Process
Path: c:\programme\ipod\bin\ipodservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 13
Service Name: O&O Defrag
Display Name: O&O Defrag
Start Mode: Auto
Start Name: LocalSystem
Description: O&O Defragmentation ...
Service Type: Own Process
Path: c:\windows\system32\oodag.exe
State: Running
Process ID: 296
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #14
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 15
Service Name: PAVFNSVR
Display Name: Panda Function Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda truprevent personal 2006\pavfnsvr.exe"
State: Running
Process ID: 1144
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 16
Service Name: PavPrSrv
Display Name: Panda Process Protection Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\panda software\pavshld\pavprsrv.exe"
State: Running
Process ID: 1316
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 17
Service Name: PNMSRV
Display Name: Panda Network Manager
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda truprevent personal 2006\firewall\pnmsrv.exe"
State: Running
Process ID: 1232
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 18
Service Name: PSIMSVC
Display Name: Panda IManager Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda truprevent personal 2006\psimsvc.exe"
State: Running
Process ID: 1460
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 19
Service Name: SandraDataSrv
Display Name: Sandra Data Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sisoftware\sisoftware sandra lite 2007\win32\rpcdatasrv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 20
Service Name: SandraTheSrv
Display Name: Sandra Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sisoftware\sisoftware sandra lite 2007\rpcsandrasrv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 21
Service Name: SDhelper
Display Name: PC Tools Spyware Doctor
Start Mode: Manual
Start Name: LocalSystem
Description: Provides spyware and malware protection for the system. If this service is disabled spyware ...
Service Type: Own Process
Path: c:\programme\spyware doctor\sdhelp.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 22
Service Name: SLEE_503_SERVICE
Display Name: Steganos Live Encryption Engine (Version 503) [Service]
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\slee503.exe
State: Running
Process ID: 564
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 23
Service Name: SLEE_81_SERVICE
Display Name: Steganos Live Encryption Engine 8.1 [Service]
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\slee81.exe
State: Running
Process ID: 632
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #24
Service Name: SmcService
Display Name: Sygate Personal Firewall
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sygate\spf\smc.exe
State: Running
Process ID: 840
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 25
Service Name: STI Simulator
Display Name: STI Simulator
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\pastisvc.exe
State: Running
Process ID: 368
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 26
Service Name: svcWRSSSDK
Display Name: Webroot Spy Sweeper Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Provides core functionality to Webroot Spy Sweeper. This service must be enabled and started for ...
Service Type: Own Process
Path: c:\programme\webroot\spy sweeper\wrsssdk.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #27
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{2c198c4c-e0ff-47b9-a9c8-52f20c1c0747}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 28
Service Name: TPSrv
Display Name: Panda TPSrv
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda truprevent personal 2006\tpsrv.exe"
State: Running
Process ID: 1476
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 29
Service Name: TSMService
Display Name: TSMService
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\t-dsl speedmanager\tsmsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 30
Service Name: TUWinStylerThemeSvc
Display Name: TuneUp WinStyler Theme Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 31
Service Name: UleadBurningHelper
Display Name: Ulead Burning Helper
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\ulead systems\dvd\ulcdrsvr.exe
State: Running
Process ID: 1312
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 32
Service Name: WQFJKF
Display Name: WQFJKF
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path:
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 33
Service Name: XCOMM
Display Name: BitDefender Communicator
Start Mode: Auto
Start Name: LocalSystem
Description: Sichert die Kommunikation zwischen den BitDefender ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\softwin\bitdefender communicator\xcommsvr.exe" /service
State: Running
Process ID: 2132
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 34
Service Name: XWEV
Display Name: XWEV
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\dokume~1\uwe\lokale~1\temp\xwev.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 115 Win32 services on this machine.
34 were unrecognized.

Script Execution Time: 7,4375 seconds.


Ja, bei genauerer Betrachtung kann ich selbst mit Nr.32 WQFJKF und mit Nr. 34 XWEX nicht besonders viel anfangen ???
Du ???
Dieser Beitrag wurde am 15.09.2006 um 15:23 Uhr von Rödelhennes editiert.
Seitenanfang Seitenende
15.09.2006, 15:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinkopieren)

WQFJKF
XWEV


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 15:46
Member

Beiträge: 11
#15 1. Post von WQFJKF:
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15/09/2006 15:32:11 for strings:
; 'wqfjkf'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WQFJKF]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WQFJKF\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WQFJKF\0000]
"Service"="WQFJKF"
"DeviceDesc"="WQFJKF"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WQFJKF]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WQFJKF]
"DisplayName"="WQFJKF"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WQFJKF\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WQFJKF\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WQFJKF\Enum]
"0"="Root\\LEGACY_WQFJKF\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WQFJKF]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WQFJKF\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WQFJKF\0000]
"Service"="WQFJKF"
"DeviceDesc"="WQFJKF"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WQFJKF]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WQFJKF]
"DisplayName"="WQFJKF"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WQFJKF\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WQFJKF]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WQFJKF\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WQFJKF\0000]
"Service"="WQFJKF"
"DeviceDesc"="WQFJKF"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WQFJKF]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WQFJKF]
"DisplayName"="WQFJKF"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WQFJKF\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WQFJKF\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WQFJKF\Enum]
"0"="Root\\LEGACY_WQFJKF\\0000"

; End Of The Log...

..................und hier der 2. von XWEX :
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15/09/2006 15:38:35 for strings:
; 'xwex'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

????????

P.S.: Würde es ja auch noch mal mit regdellnull ausprobieren, aber ich komme an mein Zubehör nicht ran, da zu weit rechts in der Programmansicht.
Nützt es Dir was, wenn ich Dir mal die Dateien poste, die Ice Sword bemeckert hat ???


Hallo Sabina,

zu "Enum" (WQFJKF) hab ich folgendes bei Heise gefunden:
http://www.heise.de/newsticker/meldung/73249 ???

Ich benutze VoiP mit der Fritz BoX und lasse mir auch meine Telefondaten
regelmäßig zusenden???

Ermittel..............Such .....
Dieser Beitrag wurde am 15.09.2006 um 15:59 Uhr von Rödelhennes editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: