RootkitRevealer meldet InprocServer32 als Schädlinge

#0
27.09.2006, 23:49
...neu hier

Beiträge: 3
#1 Hallo zusammen,

als vollkommen unwissender User musste ich gerade mit Schrecken feststellen das der RootkitRevealer 15 verdächtige Dateien gefunden hat.
Diese lauten:


HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 20.09.2006 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 13.03.2006 10:17 0 bytes Key name contains embedded nulls (*)
C:\Dokumente und Einstellungen\Fruchtzwerg\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 27.09.2006 23:00 36 bytes Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb:KAVICHS 27.09.2006 22:59 132 bytes Hidden from Windows API.

Kann mir jemand sagen was das alles bedeutet?
Und noch viel wichtiger wie ich das alles wieder loswerde?
Ich danke euch jetzt schon für eure Hilfe.
Gruß Plitsch5[color="darkblue"]
[/color]
Seitenanfang Seitenende
28.09.2006, 15:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 versuche die name contains embedded nulls (*)-Eintraege
so zu loeschen:
http://virus-protect.org/regdelnull.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 17:12
...neu hier

Themenstarter

Beiträge: 3
#3 Ok habe ich versucht doch es schlägt jedesmal mit der gleichen Antwort fehl.

Im CMD regdelnul HKLM -s eingegeben und als Antwort kommt:
regdelnul ist entweder falsch geschrieben oder konnte nicht gefunden werden!

Was mach ich denn falsch?
Seitenanfang Seitenende
28.09.2006, 17:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ++
kopiert man die Datei "regelnul.exe" in folgenden Ordner --> C:\

++
cmd - es oeffnet sich das schwarze fenster:

++
kopiere es rein, von hier aus

Zitat

regdelnull hklm -s
es muss dann dastehen: C:\>regdelnull hklm -s
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 22:45
...neu hier

Themenstarter

Beiträge: 3
#5 Danke das hat dann jetzt auch mal funktioniert, habe alles soweit gelöscht.
Nur ein Eintrag bleibt nach einem Scan mit dem RootkitRevealer übrig.

C:\Dokumente und Einstellungen\Fruchtzwerg\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS

Bekomme ich den auch irgendwie weg??
Seitenanfang Seitenende
28.09.2006, 23:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 das ist von Kaspersky
uebrigens, du solltest nur die name contains embedded nulls (*) loeschen................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende