"Dropper.Agent.dnu" nach mehreren Bereinigungsversuchen immer noch im System

#0
26.01.2008, 12:32
...neu hier

Beiträge: 6
#1 Guten Tag,

mein Rechner war sehr heftig mit Viren und Malware befallen.
Ich habe hier aus dem Forum einige Rezepte abgearbeitet und konnte auch einiges entfernen.
Danach habe ich "AVG 7.1" und "AVG Anti-Spyware" installiert.
Nach einem Reboot und Anmelden, meldet mir "AVG Anti-Spyware":

-----
Malware gefunden: Dropper.Agent.dnu
Speicherort: C:\WINDOWS\TEMP\BNX.tmp
-----
Wobei das "X" in BNX.tmp eine Ziffer ist und nach einem Reboot immer eine andere.

Eigentlich möchte ich diesen Dropperentfernen, weiß aber nicht, wo ich ansetzen muss.
Bitte um Hilfe von einem Spezialisten hier im Forum.

Im voraus schon mal vielen Dank,

Edwin Schäfer

Hier die Abarbeitungsliste mit den Logs:

1. Datenträgerbereinigung aus Windows

2. ComboFix:
============================================================
ComboFix 08-01-23.1C - Edwin 2008-01-26 12:03:49.8 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1563 [GMT 1:00]
ausgeführt von:: E:\tmp\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\smtpdrv.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SMTPDRV
-------\smtpdrv


((((((((((((((((((((((( Dateien erstellt von 2007-12-26 bis 2008-01-26 ))))))))))))))))))))))))))))))
.

2008-01-26 10:56 . 2008-01-26 10:56 <DIR> d-------- C:\Programme\1&1 Internet
2008-01-25 22:28 . 2008-01-25 22:29 <DIR> d-------- C:\Spybotsd15
2008-01-25 21:41 . 2008-01-25 23:21 <DIR> d-------- C:\HijackThis
2008-01-25 20:29 . 2008-01-25 20:29 <DIR> d-------- C:\VundoFix Backups
2008-01-24 23:14 . 2008-01-25 20:16 1,046 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-23 23:51 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-23 21:33 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-23 21:12 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-01-23 20:59 . 2004-08-04 13:00 1,899,936 --a--c--- C:\WINDOWS\system32\dllcache\NT5.CAT
2008-01-23 18:45 . 2005-09-30 13:51 202,240 -ra------ C:\WINDOWS\system32\SET8A.tmp
2008-01-23 00:27 . 2008-01-23 23:19 <DIR> d-------- C:\Programme\a-squared Anti-Malware
2008-01-21 18:11 . 2008-01-21 18:11 46,592 --a------ C:\WINDOWS\system32\drivers\dhlp.sys
2008-01-21 13:59 . 2008-01-21 13:59 54,764 --a------ C:\WINDOWS\system32\drivers\astq.tga
2008-01-21 13:59 . 2008-01-26 11:40 25,984 --a------ C:\WINDOWS\system32\drivers\Tag74.sys
2008-01-20 22:03 . 2008-01-04 22:58 120,056 --a------ C:\WINDOWS\system32\pxcpyi64.exe
2008-01-20 22:02 . 2008-01-25 20:09 <DIR> d-------- C:\Programme\DivX
2008-01-17 21:31 . 2006-10-03 14:33 462,848 --a------ C:\WINDOWS\system32\lame_enc.dll
2008-01-17 20:46 . 2008-01-17 21:31 <DIR> d-------- C:\Programme\Exact Audio Copy
2008-01-11 01:29 . 2008-01-11 01:29 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-01-08 17:48 . 2008-01-23 23:19 <DIR> d-------- C:\Programme\free-downloads.net
2008-01-08 17:45 . 2008-01-08 17:45 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-06 09:11 . 2008-01-06 09:11 30,168 --a------ C:\WINDOWS\system32\drivers\USBkey.sys
2008-01-06 09:11 . 2008-01-06 09:11 28,672 --a------ C:\WINDOWS\system32\KL2DLL32.DLL
2008-01-06 09:11 . 2008-01-06 09:11 24,136 --a------ C:\WINDOWS\system32\ppmon.exe
2008-01-06 09:11 . 2008-01-06 09:11 8,968 --a------ C:\WINDOWS\system32\KL2DLL.DLL
2008-01-06 09:11 . 2008-01-06 09:11 7,440 --a------ C:\WINDOWS\system32\ppmon.dll
2008-01-04 22:56 . 2008-01-04 22:56 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 22:56 . 2008-01-04 22:56 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-01-02 07:03 . 2008-01-03 22:35 <DIR> d-------- C:\Hornresp
2008-01-01 15:41 . 2008-01-01 15:41 <DIR> d-------- C:\Programme\ASCON
2008-01-01 07:32 . 2008-01-05 05:27 <DIR> d-------- C:\Programme\Winamp Remote
2007-12-30 18:56 . 2007-12-30 18:56 <DIR> d-------- C:\Programme\Replay Media Catcher
2007-12-30 18:56 . 2007-12-30 18:56 2,293,848 --a------ C:\Programme\FLV PlayerFCSetup.exe
2007-12-30 18:55 . 2007-12-30 18:56 3,928,264 --a------ C:\Programme\FLV PlayerRCATSetup.exe
2007-12-30 18:55 . 2007-12-30 18:55 411,248 --a------ C:\Programme\FLV PlayerRCSetup.exe
2007-12-30 18:54 . 2007-12-30 18:54 <DIR> d-------- C:\WINDOWS\Applian FLV Player

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-26 10:18 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-01-25 23:05 --------- d-----w C:\Programme\Winamp
2008-01-25 19:11 --------- d-----w C:\Programme\EA Games
2008-01-24 21:25 --------- d-----w C:\Programme\iTunes
2008-01-23 22:17 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-01-23 22:17 --------- d-----w C:\Programme\AVS4YOU
2008-01-23 22:15 --------- d-----w C:\Programme\Google
2008-01-23 22:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-23 22:07 --------- d-----w C:\Programme\Zylom Games
2008-01-23 21:50 --------- d-----w C:\Programme\ICQ6
2008-01-21 22:32 --------- d-----w C:\Programme\QuickTime
2008-01-18 22:15 --------- d-----w C:\Programme\Magic MP3 Tagger
2008-01-02 21:21 --------- d-----w C:\Programme\WinBoxSimu 1.6 Rev.13 Freeware-Editon
2007-12-24 13:07 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-12-24 13:07 253,952 ----a-w C:\WINDOWS\Setup1.exe
2007-12-05 11:10 --------- d-----w C:\Programme\Happyneuron
2007-02-15 10:08 1,504 ----a-w C:\Programme\SavedGame.dat
2007-01-09 09:30 774,144 ----a-w C:\Programme\RngInterstitial.dll
2003-08-03 16:18 329 ----a-w C:\Programme\Versionsinformation.txt
2003-08-03 16:15 868,352 ----a-w C:\Programme\AudioCenter.exe
2003-06-12 09:42 547 ----a-w C:\Programme\RADIO.INI
2003-06-12 09:39 15 ----a-w C:\Programme\KEY.INI
2003-06-12 09:14 547 ----a-w C:\Programme\DEFAULTRADIO.INI
2003-06-09 11:20 1,884 ----a-w C:\Programme\AudioCenter.res
2003-04-18 15:04 342 ----a-w C:\Programme\AudioCenter.cfg
2002-10-25 23:08 46,596 ----a-w C:\Programme\basswma.dll
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-04-27 08:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-25_21.14.12.20 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-25 22:41:20 821,856 ----a-w C:\WINDOWS\system32\drivers\avg7core.sys
+ 2008-01-25 22:41:25 4,224 ----a-w C:\WINDOWS\system32\drivers\avg7rsw.sys
+ 2008-01-25 22:41:26 27,776 ----a-w C:\WINDOWS\system32\drivers\avg7rsxp.sys
+ 2008-01-25 22:41:26 10,760 ----a-w C:\WINDOWS\system32\drivers\avgclean.sys
+ 2008-01-25 22:41:26 26,952 ----a-w C:\WINDOWS\system32\drivers\avgmfx86.sys
+ 2008-01-25 22:41:26 4,960 ----a-w C:\WINDOWS\system32\drivers\avgtdi.sys
- 2008-01-25 19:57:38 75,200 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-01-26 11:06:21 75,200 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-01-25 19:57:38 62,480 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-26 11:06:21 62,480 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-25 19:57:38 415,800 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-01-26 11:06:21 415,800 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-01-25 19:57:38 401,200 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-26 11:06:21 401,200 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-01-05 10:31 7323648]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-25 23:41 579072]
"VirtuDrive"="C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe" [2001-03-16 17:20 1127424]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-01-25 23:41 219136]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag74.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xxx]
@="Driver"


R0 dhlp;dhlp;C:\WINDOWS\system32\Drivers\dhlp.sys [2008-01-21 18:11]
R0 Tag74;Tag74;C:\WINDOWS\system32\Drivers\Tag74.sys [2008-01-26 11:40]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2002-07-19 07:10]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2003-01-24 02:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2003-01-24 02:00]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
S3 FDSSBASE;AVM FRITZ!Card DSL SL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdssbase.sys [2003-01-24 02:00]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows []
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 11:35]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2004-08-04 13:00]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe [2004-08-04 13:00]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2004-08-04 13:00]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2004-08-04 13:00]
S3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2005-03-03 00:14]
S4 PanelSvc;PanelSvc;"C:\Programme\Meinungsstudie\PanelApp\PanelSvc.exe" []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-26 12:10:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-26 12:13:22 - machine was rebooted [Edwin]
ComboFix-quarantined-files.txt 2008-01-26 11:13:19
.
2008-01-25 23:09:05 --- E O F ---
===========================================================================



3. HiJackThis

=========================================================================================
Logfile of HijackThis v1.99.1
Scan saved at 12:17:03, on 26.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\HJT\HJT.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VirtuDrive] C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - E:\Johannes\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
===========================================================================
Seitenanfang Seitenende
26.01.2008, 13:12
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo annajo

««
http://www.virus-protect.org/artikel/tools/regsearch.html
««
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft cache control

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

««
in: "Enter search strings" (reinschreiben oder reinkopieren)

MSControlService

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

««
in: "Enter search strings" (reinschreiben oder reinkopieren)

dhlp

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

««
in: "Enter search strings" (reinschreiben oder reinkopieren)

Tag74

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

--------------
««
START - Ausführen - cmd - in das schwarze Fenster kopieren (einfügen) :

Zitat

regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal"
start notepad.exe c:\key4.txt
exit
- kopiere den Inhalt der Textdatei hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
26.01.2008, 13:35
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Pinguin,

danke für deine schnelle Hilfe.

Gruß,
Edwin

Hier die gewünschen logs aus RegSearch

"Microsoft cache control"
--------------------------------------
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 26.01.2008 13:26:48 for strings:
; 'microsoft cache control'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]
"DeviceDesc"="Microsoft cache control"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService]
"DisplayName"="Microsoft cache control"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]
"DeviceDesc"="Microsoft cache control"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\MSControlService]
"DisplayName"="Microsoft cache control"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]
"DeviceDesc"="Microsoft cache control"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService]
"DisplayName"="Microsoft cache control"

; End Of The Log...
----------------------------------------


"MSControlService"
---------------------------------------------
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 26.01.2008 13:29:55 for strings:
; 'mscontrolservice'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]
"Service"="MSControlService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService\Enum]
"0"="Root\\LEGACY_MSCONTROLSERVICE\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]
"Service"="MSControlService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\MSControlService]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\MSControlService\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE\0000]
"Service"="MSControlService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService\Enum]
"0"="Root\\LEGACY_MSCONTROLSERVICE\\0000"

; End Of The Log...
-----------------------------------------------------------

"dhlp"
------------------------------------------------------------
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 26.01.2008 13:31:25 for strings:
; 'dhlp'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\RealPlayer\6.0\Preferences\UpgrdHlpSatellite]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\RealPlayer\6.0\Preferences\UpgrdHlpSatellite]
@="C:\\Programme\\Real\\RealPlayer\\lang\\upgrdhlp_de.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\Components\localisation_de:6.0\File35]
@="C:\\Programme\\Real\\RealPlayer\\lang\\upgrdhlp_de.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\Components\localisation_de:6.0\Reg1]
@="-2147483648|Software\\RealNetworks\\Update\\6.0\\Preferences\\UpgrdHlpSatellite"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\Components\localisation_de:6.0\Reg2]
@="-2147483648|Software\\RealNetworks\\RealPlayer\\6.0\\Preferences\\UpgrdHlpSatellite"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\Components\Update:7.0\File4]
@="C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\upgrdhlp.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\UpgrdHlpSatellite]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\UpgrdHlpSatellite]
@="C:\\Programme\\Real\\RealPlayer\\lang\\upgrdhlp_de.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\upgrdhlp.exe"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP\0000]
"Service"="dhlp"
"DeviceDesc"="dhlp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP\0000\Control]
"ActiveService"="dhlp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp]
; Contents of value:
; System32\Drivers\dhlp.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,64,00,68,00,6c,00,70,00,2e,00,73,\
00,79,00,73,00,00,00
"DisplayName"="dhlp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\blocked]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\log]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\Enum]
"0"="Root\\LEGACY_DHLP\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_DHLP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_DHLP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_DHLP\0000]
"Service"="dhlp"
"DeviceDesc"="dhlp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp]
; Contents of value:
; System32\Drivers\dhlp.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,64,00,68,00,6c,00,70,00,2e,00,73,\
00,79,00,73,00,00,00
"DisplayName"="dhlp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp\blocked]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp\log]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP\0000]
"Service"="dhlp"
"DeviceDesc"="dhlp"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP\0000\Control]
"ActiveService"="dhlp"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp]
; Contents of value:
; System32\Drivers\dhlp.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,64,00,68,00,6c,00,70,00,2e,00,73,\
00,79,00,73,00,00,00
"DisplayName"="dhlp"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\blocked]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\log]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\Enum]
"0"="Root\\LEGACY_DHLP\\0000"
------------------------------------------------------------------------


"Tag74"
------------------------------------------------------------------------
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 26.01.2008 13:32:30 for strings:
; 'tag74'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Tag74.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Tag74.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000]
"Service"="Tag74"
"DeviceDesc"="Tag74"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000\Control]
"ActiveService"="Tag74"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74]
; Contents of value:
; System32\Drivers\Tag74.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\
00,73,00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74\Enum]
"0"="Root\\LEGACY_TAG74\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tag74]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tag74]
; Contents of value:
; System32\Drivers\Tag74.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\
00,73,00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tag74\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tag74]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tag74]
; Contents of value:
; System32\Drivers\Tag74.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\
00,73,00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tag74\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tag74]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tag74]
; Contents of value:
; System32\Drivers\Tag74.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\
00,73,00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tag74\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\SafeBoot\Minimal\Tag74.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\SafeBoot\Network\Tag74.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74\0000]
"Service"="Tag74"
"DeviceDesc"="Tag74"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Tag74]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Tag74]
; Contents of value:
; System32\Drivers\Tag74.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\
00,73,00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Tag74\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag74.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tag74.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000]
"Service"="Tag74"
"DeviceDesc"="Tag74"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000\Control]
"ActiveService"="Tag74"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74]
; Contents of value:
; System32\Drivers\Tag74.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\
00,73,00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74\Enum]
"0"="Root\\LEGACY_TAG74\\0000"

; End Of The Log...
-------------------------------------------------------------------------

Aus regedit key4:
-------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag74.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xxx]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"
-------------------------------------------------------------------------
Dieser Beitrag wurde am 26.01.2008 um 13:40 Uhr von annajo editiert.
Seitenanfang Seitenende
26.01.2008, 14:15
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 lade die sys hoch (kannst du von hiewr aus einkopieren) - poste die reporte
http://www.virustotal.com/de/

C:\WINDOWS\system32\drivers\dhlp.sys
C:\WINDOWS\system32\drivers\Tag74.sys


«
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
26.01.2008, 14:35
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Pinguin,

hier der Output von http://www.virustotal.com/de/
für dhlp.sys

---------------------------------------------------------
Datei dhlp.sys empfangen 2008.01.26 14:21:10 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.26.10 2008.01.25 -
AntiVir 7.6.0.53 2008.01.25 PHISH/FraudTool.BestSeller.A.7
Authentium 4.93.8 2008.01.26 -
Avast 4.7.1098.0 2008.01.25 -
AVG 7.5.0.516 2008.01.25 -
BitDefender 7.2 2008.01.26 -
CAT-QuickHeal 9.00 2008.01.25 FraudTool.BestSeller.a (Not a Virus)
ClamAV 0.91.2 2008.01.26 -
DrWeb 4.44.0.09170 2008.01.26 -
eSafe 7.0.15.0 2008.01.16 FraudTool.Win32.Best
eTrust-Vet 31.3.5486 2008.01.26 -
Ewido 4.0 2008.01.25 -
FileAdvisor 1 2008.01.26 -
Fortinet 3.14.0.0 2008.01.26 Misc/BestSeller
F-Prot 4.4.2.54 2008.01.25 -
F-Secure 6.70.13260.0 2008.01.26 -
Ikarus T3.1.1.20 2008.01.26 not-a-virus:.FraudTool.Win32.BestSeller.a
Kaspersky 7.0.0.125 2008.01.26 not-a-virus:FraudTool.Win32.BestSeller.a
McAfee 5216 2008.01.26 -
Microsoft 1.3109 2008.01.26 Program:Win32/WinFixer
NOD32v2 2824 2008.01.26 Win32/Adware.AVSystemCare
Norman 5.80.02 2008.01.24 -
Panda 9.0.0.4 2008.01.26 -
Prevx1 V2 2008.01.26 Win32.Rootkit.Gen
Rising 20.28.52.00 2008.01.26 -
Sophos 4.25.0 2008.01.26 -
Sunbelt 2.2.907.0 2008.01.25 -
TheHacker 6.2.9.198 2008.01.25 Aplicacion/BestSeller.a
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.25 -
Webwasher-Gateway 6.6.2 2008.01.26 Win32.Malware.gen!80 (suspicious)
----------------------------------------------------------------

Ich habe mehrmals versucht "Tag74.sys" hochzuladen,
wenn das Hochladen startet bekomme ich eine Seite mit folgendem eintrag:
"0 bytes size received / Se ha recibido un archivo vacio"

Wenn ich versuche die Datei zu kopieren,
bekomme ich immer eine Zugriffsverweigerungsmeldung

Auch im abgesicherten Modus komme ich nicht an die Datei

Edwin
Dieser Beitrag wurde am 26.01.2008 um 14:54 Uhr von annajo editiert.
Seitenanfang Seitenende
26.01.2008, 14:59
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 rootkits ;)
nun mal schauen, ob du ums Formatieren drumrumkommst...

F-Secure BlackLight
http://www.f-secure.com/security_center/
Downloads
BlackLight – Rootkit Detection and Elimination Tool

doppelklick: fsbl.exe
Check
nun findet man eine Log-Datei(txt) auf dem Desktop - poste sie hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
26.01.2008, 16:20
...neu hier

Themenstarter

Beiträge: 6
#7 Hi Pinguin,

habe auf der von dir angegebenen seite nur ein
"BlackLight – Rootkit - eliminator"
gefunden, gestartet wir er mit einem Button "Scan"
die EXE heisst aber auch "fsbl.exe".
Habe ich durchlaufen lassen - leider ohne Ergebnis

Ich lade mir jetzt noch von dort
"F-Secure Internet Security 2008"
ergebisse werde ich hier posten

Danke,
Edwin
Dieser Beitrag wurde am 26.01.2008 um 16:30 Uhr von annajo editiert.
Seitenanfang Seitenende
26.01.2008, 20:56
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 annajo

Fortinet 3.14.0.0 2008.01.26 Misc/BestSeller
F-Prot 4.4.2.54 2008.01.25 -
F-Secure 6.70.13260.0 2008.01.26 -
Ikarus T3.1.1.20 2008.01.26 not-a-virus:.FraudTool.Win32.BestSeller.a
Kaspersky 7.0.0.125 2008.01.26 not-a-virus:FraudTool.Win32.BestSeller.a

F-Secure -
ist keine gute Idee...Scanner erkennt die Viren nicht !!!


----------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xxx]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Tag74]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tag74]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tag74]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tag74]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag74.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag74.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Tag74.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\SafeBoot\Minimal\Tag74.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Tag74.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\MSControlService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_DHLP]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp]

Driver::
Tag74.sys
dhlp.sys

File::
C:\WINDOWS\system32\drivers\Tag74.sys
C:\WINDOWS\system32\drivers\dhlp.sys
-------------

boote in den abgesicherten Modus !!! - F8 drücken, wenn der Rechner hochfährt

---------------------------------------------------------------------------



cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

»»
boote wieder in den normalmodus - poste den neuen Report von Combofix

-----------

««
scanne im abgesicherten Modus mit kaspersky - berichte !!!
http://www.virus-protect.org/artikel/tools/kaspersky.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
27.01.2008, 08:59
...neu hier

Themenstarter

Beiträge: 6
#9 Hallo Pinguin,

ich habe, wie in meinem letzten Post:

"Ich lade mir jetzt noch von dort
"F-Secure Internet Security 2008"
ergebisse werde ich hier posten"

vermerkt, F-Secure runter geladen und ausgeführt.
Leider hat dies beim Booten des rechners zu einem Problem geführt,
der Rechner lies sich nicht mehr normaö booten, nur noch im abgesicherten Modus.

Ich habe dann mein letztes Post bearbeitet und und wollte dir darin mitteilen,
dass ich meinen rechner platt machen wewrden. Leider ging diese Bearbeitung nicht an den Server durch,
so das du diese Info nicht gesehen hast.

Mittlerweile habe ich den Rechner neu aufgesetzt, was im endeffekt weniger Arbeit war, als den dem Rootkits zu suchen.
Nun ich denke, jetzt bin ich fehlerfrei.

Eine Bitte habe ich noch,
kannst du mir ein Antivirus-Programm und ein Anti-Spy-Programm empfehlen,
kann auch Kaufsoftware sein.

Nochmals vielen, vielen Dank für deine Deine hilfe.
Mancher profesionneller Support ist nicht so schnell und kompetent.

Gruß,
edwin schäfer
Seitenanfang Seitenende
27.01.2008, 09:31
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Morgen,Edwin
Versuch versionen kann man sich immer runterladen ;)

http://www.eset.com/

NOD32 neuerster version findet man hier
Download http://download1.eset.com/eval/win/eav/eav_nt32_enu.msi

Eset Smart Security (mit Spamfilter und firewall)
Download http://download1.eset.com/eval/win/ess/ess_nt32_enu.msi

Selber benutze ich eScan VC (mit Spamfilter)
http://www.mwti.net/products/escan/escan_viruscontrol/escanviruscontrol_download.asp
__________
MfG Argus
Seitenanfang Seitenende
27.01.2008, 12:25
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 Hallo ;)

««
ich empfehle Kaspersky
http://www.virus-protect.org/antivirshare.html

kannst du erstmal 14 Tage testen, und dich dann entscheiden.

««
Spyware/Adware
die neue Version (kostenpflichtig oder kostenlos) von AdAware
http://www.virus-protect.org/adaware.html

Windows Live OneCare - 90 Tage free
http://www.virus-protect.org/artikel/tools/windowslivesafetycenter.html
http://www.virus-protect.org/antivirhare1.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
27.01.2008, 15:19
...neu hier

Themenstarter

Beiträge: 6
#12 Hi Pinguin,

ich habe mich vorerst mal für die beiden ersten entschieden.
Ich werde mal die Trailversionen einsetzten und mich später entsprechend entscheiden.

Danke für deine Hilfe.

Gruß,
Edwin
Seitenanfang Seitenende