rmk8ot.dll
xptptt.dll
xptpmm.sys
senssrv.dll


rmk8ot.dll, xptptt.dll, xptpmm.sys, senssrv.dll, winm32.sys, winm64.sys, winm32.dll

Troj/Haxdoor-BN

* http://www.sophos.com

fux87.ini
klgcptini.dat
sd.dll
sd.sys
xptpmm.sys
xptptt.dll

weiter HijackThis

O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll

weiter RootkitRevealer

C:\WINDOWS\system32\drivers\sysbus32.sys 14.04.2006 14:25 50.13 KB Hidden from Windows API.
C:\WINDOWS\system32\fux87.ini 14.04.2006 14:26 320 bytes Hidden from Windows API.
C:\WINDOWS\system32\klgcptini.dat 14.04.2006 14:26 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\sd.dll 14.04.2006 14:26 45.26 KB Hidden from Windows API.
C:\WINDOWS\system32\sd.sys 14.04.2006 14:26 21.39 KB Hidden from Windows API.
C:\WINDOWS\system32\xptpmm.sys 14.04.2006 14:26 21.39 KB Hidden from Windows API.
C:\WINDOWS\system32\xptptt.dll 14.04.2006 14:26 45.26 KB Hidden from Windows API.

weiter F-Secure BlackLight

07/21/06 16:28:11 [Info]: Hidden file: c:\WINDOWS\system32\fux87.ini
07/21/06 16:28:15 [Info]: Hidden file: c:\WINDOWS\system32\sd.dll
07/21/06 16:28:16 [Info]: Hidden file: c:\WINDOWS\system32\sd.sys
07/21/06 16:28:20 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat
07/21/06 16:28:22 [Info]: Hidden file: c:\WINDOWS\system32\xptpmm.sys

weiter datfindbat

Verzeichnis von C:\WINDOWS\system32
20.07.2006 19:26 2 wnscpsv.exe
20.07.2006 19:24 18.944 winzdn32.dll
20.07.2006 13:42 10.240 win32hlp.exe
20.07.2006 13:42 284 ps.a3d
29.04.2006 14:20 15.355 winbrume.dat
29.04.2006 14:20 0 ImaS3r

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32\0000\LogConf]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sysbus32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\xptpmm.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\xptpmm.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\xptpmm.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\xptpmm.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xptpmm.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\xptpmm.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xptpmm]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xptptt]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xptpmm]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xptptt]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\xptpmm]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\xptptt]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xptpmm]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xptptt]

weiter Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sysbus32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSBUS32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\xptpmm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\xptpmm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\xptpmm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\xptpmm.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xptpmm.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\xptpmm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xptpmm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xptptt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xptpmm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xptptt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\xptpmm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\xptptt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xptpmm
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xptptt

Files to delete:
C:\WINDOWS\system32\xptptt.dll
C:\WINDOWS\system32\drivers\sysbus32.sys
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\spoolsv.dll
C:\WINDOWS\system32\ImaS3r
C:\WINDOWS\system32\fux87.ini
C:\WINDOWS\system32\sd.dll
C:\WINDOWS\system32\sd.sys
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\xptpmm.sys
C:\WINDOWS\b.exe

C:\WINDOWS\system32\wnscpsv.exe
C:\WINDOWS\system32\winzdn32.dll
C:\WINDOWS\system32\win32hlp.exe
C:\WINDOWS\system32\winbrume.dat
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\ahdp.dat
C:\WINDOWS\system32\azebar.xml
C:\WINDOWS\system32\tempt3.exe

weiter Avenger (Beispiel)

Files to delete:
C:\WINDOWS\system32\drivers\sysbus32.sys
C:\WINDOWS\system32\fux87.ini
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\sd.dll
C:\WINDOWS\system32\sd.sys
C:\WINDOWS\system32\xptpmm.sys
C:\WINDOWS\system32\xptptt.dll

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

C:\WINDOWS\system32\alrsc.exe Infected: Trojan.Win32.Crypt.t
C:\WINDOWS\system32\autrv42a.exe Infected: Trojan.Win32.Crypt.t
C:\WINDOWS\system32\drivers\cruafd.sys Infected: Rootkit.Win32.Agent.ao - (Apropos)
C:\WINDOWS\system32\imaights.exe Infected: Trojan.Win32.Crypt.t skipped

anderer PC

weiter HijackThis

O20 - Winlogon Notify: xptptt - xptptt.dll

weiter datfindbat

Verzeichnis von C:\WINDOWS\system32

27.04.2006 13:06 8.258 ps.a3d
27.04.2006 10:04 0 ImaS3r
26.04.2006 16:11 15.355 winbrume.dat

Verzeichnis von C:\

26.04.2006 16:11 62.584 ccyp.exe
26.04.2006 16:10 62.584 xliwyr.exe
26.04.2006 16:10 0 uniq

ccyp.exe + xliwyr.exe

NOD32 - a variant of Win32/Haxdoor gefunden
VBA32 - Trojan-Dropper.Microjoin.2 gefunden (mögliche Variante)


Norman Scanner Engine 5.90. 7
Sandbox 05.90, dated 24/03-2006

ccyp.exe : Not detected by sandbox (Signature: NO_VIRUS)

* File might be compressed.
* Decompressing Unk3!FSG?.
* File length: 62584 bytes.
* MD5 hash: fc0c5b56511857e781f676c4b56684e6.

[ Changes to filesystem ]
* Creates file xptptt.dll
* Creates file sd.dll
* Creates file xptpmm.sys

[ Changes to registry ]

* Creates key "HKLM\Software\Microsoft\Windows NT\currentversion\Winlogon\Notify\xptptt"

* Sets value "secureUID"="" in key "HKLM\Software\Microsoft\Windows NT\currentversion\Winlogon\Notify\xptptt"

* Sets value "DllName"="xptptt.dll" in key "HKLM\Software\Microsoft\Windows NT\currentversion\Winlogon\Notify\xptptt"
* Sets value "Startup"="MmPageScan" in key "HKLM\Software\Microsoft\Windows NT\currentversion\Winlogon\Notify\xptptt"
* Sets value "Impersonate"="." in key "HKLM\Software\Microsoft\Windows NT\currentversion\Winlogon\Notify\xptptt"
* Sets value "Asynchronous"="." in key "HKLM\Software\Microsoft\Windows NT\currentversion\Winlogon\Notify\xptptt"
* Sets value "MaxWait"="." in key "HKLM\Software\Microsoft\Windows NT\currentversion\Winlogon\Notify\xptptt"

scode.dll : Not detected by sandbox (Signature: NO_VIRUS)

* File length: 24624 bytes.
* MD5 hash: 50f0240073275c23d1141824f70975d2.

xliwyr.exe : Not detected by sandbox (Signature: NO_VIRUS)
* File might be compressed.
* Decompressing Unk3!FSG?.
* File length: 62584 bytes.
* MD5 hash: fc0c5b56511857e781f676c4b56684e6.
[ Changes to filesystem ]

* Creates file xptptt.dll
* Creates file sd.dll
* Creates file xptpmm.sys


anderer PC

c:\WINDOWS\SYSTEM32\WINM64.SYS - c:\WINDOWS\SYSTEM32\WINM32.SYS

weiter HijackThis

O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll

weiter F-Secure BlackLight

06/07/06 14:42:06 [Info]: Hidden process: C:\WINDOWS\System32\clcbt.exe
06/07/06 14:42:06 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe
06/07/06 14:42:07 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE
06/07/06 14:42:13 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WINM32.DLL
06/07/06 14:42:16 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\QZ.DLL
06/07/06 14:42:17 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WINM64.SYS
06/07/06 14:42:18 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\QZ.SYS
06/07/06 14:42:20 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WINM32.SYS
06/07/06 14:42:21 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\QY.SYS
06/07/06 14:42:22 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\P3.INI
06/07/06 14:42:24 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\KLOGINI.DLL
06/07/06 14:42:24 [Info]: Hidden file: C:\WINDOWS\System32\clcbt.exe
06/07/06 14:42:28 [Info]: Hidden file: c:\WINDOWS\Prefetch\CLCBT.EXE-1B55EDA4.pf

weiter Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winm64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winm64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winm64

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winm32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winm32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winm32

Files to delete:
C:\WINDOWS\System32\clcbt.exe
c:\WINDOWS\SYSTEM32\WINM32.DLL
c:\WINDOWS\SYSTEM32\QZ.DLL
c:\WINDOWS\SYSTEM32\WINM64.SYS
c:\WINDOWS\SYSTEM32\QZ.SYS
c:\WINDOWS\SYSTEM32\WINM32.SYS
c:\WINDOWS\SYSTEM32\QY.SYS
c:\WINDOWS\SYSTEM32\P3.INI
c:\WINDOWS\Prefetch\CLCBT.EXE-1B55EDA4.pf


Goldun.Fam Trojan

c:\windows\system32\config\ssl

pptp24.sys - qz.sys - pptp16.dll
Trojanisches Pferd - TR/PSW.PdPi.CT.1.D - c:/windows/system32/pptp16.dll

weiter HijackThis

O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll

weiter F-Secure BlackLight

6/07/06 11:45:06 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE
06/07/06 11:45:06 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe
06/07/06 11:46:37 [Info]: Hidden file: c:\WINDOWS\system32\ms87.dat
06/07/06 11:46:41 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat
06/07/06 11:46:42 [Info]: Hidden file: c:\WINDOWS\system32\pptp16.dll
06/07/06 11:46:42 [Info]: Hidden file: c:\WINDOWS\system32\pptp24.sys
06/07/06 11:46:43 [Info]: Hidden file: c:\WINDOWS\system32\redir2.a3d
06/07/06 11:46:45 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys

weiter Dr.Web-Antivirus

C:\WINDOWS\system32\pptp16.dll.ren infiziert mit BackDoor.Haxdoor.294 - gelöscht
C:\WINDOWS\system32\pptp24.sys.ren infiziert mit BackDoor.Haxdoor.216 - gelöscht
C:\WINDOWS\system32\qz.sys.ren infiziert mit BackDoor.Haxdoor.216 - gelöscht
C:\WINDOWS\o5b.exe infiziert mit BackDoor.Haxdoor.294 - gelöscht
C:\System Volume Information\_restore{C8ECA29E-325C-43C6-A539-DF86E5526930}\RP72\A0038758.sys infiziert mit BackDoor.Haxdoor.216 - gelöscht

weiter Regsearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

pptp24.sys

in edit und klicke "Ok". Notepad wird sich öffnen

weiter Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\pptp24.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\pptp24.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pptp16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pptp24
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\pptp24.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\pptp24.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pptp16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pptp24
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pptp24.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\pptp24.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pptp16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pptp24

weiter HijackThis

O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH

C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\$b17a2e8.tmp
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\a.exe
C:\WINDOWS\System32\clcbt.exe
C:\WINDOWS\system32\dxtpdh.sys
C:\WINDOWS\system32\dxtpdx.dll
C:\WINDOWS\system32\ms87.dat
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
C:\winstall.exe
C:\uniq
C:\WINDOWS\system32\klo5.sys
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\d3d9caps.dat
C:\WINDOWS\system32\basesrv4.exe
C:\WINDOWS\system32\3ivx2501.exe
C:\WINDOWS\system32\atmlib87.exe
C:\WINDOWS\system32\taskmgn.exe
C:\WINDOWS\system32\gncfodmk.exe
C:\WINDOWS\system32\winrknj
C:\WINDOWS\system32\batmeter.exe
C:\WINDOWS\system32\atmlib03.exe
C:\WINDOWS\system32\capesnpn.exe
C:\WINDOWS\system32\atmpvcno.exe
C:\WINDOWS\system32\dxtpdx.dll
C:\WINDOWS\inetloader.dll
C:\WINDOWS\keyboard1.dat

weiter datfindbat

Verzeichnis von C:\WINDOWS\system32

23.07.2006 14:21 6.003 klo5.sys
23.07.2006 14:18 232 ps.a3d

23.07.2006 12:44 148.659 BASSMOD1.exe
23.07.2006 10:53 664 d3d9caps.dat
23.07.2006 10:34 24.576 basesrv4.exe
23.07.2006 10:34 73.728 3ivx2501.exe
23.07.2006 10:34 90.112 atmlib87.exe
23.07.2006 01:01 41.472 taskmgn.exe
23.07.2006 01:01 22.912 gncfodmk.exe
23.07.2006 01:00 0 winrknj
22.07.2006 18:21 148.659 batmeter.exe
22.07.2006 18:15 24.576 atmlib03.exe
22.07.2006 18:15 73.728 capesnpn.exe
22.07.2006 18:15 90.112 atmpvcno.exe

Verzeichnis von C:\WINDOWS

23.07.2006 01:01 16.896 inetloader.dll
23.07.2006 01:00 0 keyboard1.dat

Verzeichnis von C:\

23.07.2006 00:58 32.768 winstall.exe
23.07.2006 00:58 0 uniq

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

23.07.2006 00:59 0 $b17a2e8.tmp
23.07.2006 00:58 8.785 a.exe

Verzeichnis von C:\Programme

23.07.2006 01:00 -DIR- Network Monitor

weiter F-Secure BlackLight

07/23/06 14:43:15 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe
07/23/06 14:43:15 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE
07/23/06 14:44:33 [Info]: Hidden file: c:\WINDOWS\system32\dxtpdh.sys
07/23/06 14:44:33 [Info]: Hidden file: c:\WINDOWS\system32\dxtpdx.dll
07/23/06 14:44:35 [Info]: Hidden file: c:\WINDOWS\system32\ms87.dat
07/23/06 14:44:37 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat
07/23/06 14:44:38 [Info]: Hidden file: c:\WINDOWS\system32\qz.dll
07/23/06 14:44:39 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys

rmk8ot.dll

weiter HijackThis

O20 - Winlogon Notify: DPWLN - C:\WINDOWS\System32\DPWLEvHd.dll
O20 - Winlogon Notify: rmk8ot - C:\WINDOWS\SYSTEM32\rmk8ot.dll

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\rmk8ot.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\rmk9ot.sys

weiter F-Secure BlackLight

09/07/06 10:34:20 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE
09/07/06 10:34:20 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe
09/07/06 10:36:39 [Info]: Hidden file: c:\WINDOWS\system32\aazhy.ini
09/07/06 10:36:44 [Info]: Hidden file: c:\WINDOWS\system32\rmk8ot.dll
09/07/06 10:36:45 [Info]: Hidden file: c:\WINDOWS\system32\rmk9ot.sys
09/07/06 10:36:48 [Info]: Hidden file: c:\WINDOWS\system32\qz.dll
09/07/06 10:36:48 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys
09/07/06 10:36:48 [Info]: Hidden file: c:\WINDOWS\system32\zzddawert.dat

weiter datfindbat

Verzeichnis von C:\WINDOWS\system32
06.09.2006 14:27 81.984 bdod.bin
06.09.2006 14:23 314 ps.ads
06.09.2006 13:33 14 getfile.dat
06.09.2006 10:40 320 aazhy.ini
03.09.2006 21:55 0 zzddawert.dat

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\t1157545434.dll
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\t1157545434.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\t1157545418.dll
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\t1157545418.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\t1157545411.dll
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\t1157545411.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\t1157531970.dll

weiter Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rmk8ot.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rmk9ot.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RMK8OT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RMK9OT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rmk8ot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rmk9ot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\rmk8ot.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\rmk9ot.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RMK8OT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RMK9OT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rmk8ot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rmk9ot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rmk8ot.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rmk9ot.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RMK8OT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RMK9OT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rmk8ot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rmk9ot
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\rmk8ot.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\rmk9ot.sys

Files to delete:
c:\WINDOWS\system32\aazhy.ini
c:\WINDOWS\system32\rmk8ot.dll
c:\WINDOWS\system32\rmk9ot.sys
c:\WINDOWS\system32\rmk8ot.sys
c:\WINDOWS\system32\qz.dll
c:\WINDOWS\system32\qz.sys
c:\WINDOWS\system32\zzddawert.dat
C:\WINDOWS\SYSTEM32\rmk9ot.dll
C:\WINDOWS\System32\DPWLEvHd.dll
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\ps.ads
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\t1157638316.dll
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\t1157638316.exe
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\GLC7.tmp
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\tmp.xpi
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\t1157575411.dll
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\t1157575411.exe
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\t1157575403.dll
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\t1157575403.exe





startseite
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits