Haxfix Haxdoor Removal

**Ruby** · 20.02.2006 23:47

Haxfix
zur Entfernung der Backdoor.Haxdoor Family

Übersetzung von Marckie's "Spyware"
(Genehmigte Deutsche Übersetzung)

Haxdoor-Varianten
Hier folgt nun eine Besprechung einer Anzahl von Haxdoor-Varianten. Alle besprochenen Varianten können mit dem HaxFix entfernt werden.

Haxdoor: ****32.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****32 - C:\WINDOWS\SYSTEM32\****32.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
avpe32
O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
TCPIP2 Kernel32: \??\C:\WINDOWS\System32\avpe64.sys (autostart)
TCPIP2 Kernel: \??\C:\WINDOWS\System32\avpe64.sys (system)

avpx32
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll

avpi32
O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll

avpp32
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll

avpu32
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

fuxx32
O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll

cert32
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll

tpcR32
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll

axxt32
O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll

winm32
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
winm TCP: \??\C:\WINDOWS\System32\winm32.sys (autostart)
winm64 TCP: \??\C:\WINDOWS\System32\winm64.sys (system)[/size]

snda32
O20 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll

sndu32
O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll

lanH32
O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
LAN FW adapter: \??\C:\WINDOWS\System32\lanH64.sys (autostart)
LAN MSFW adapter: \??\C:\WINDOWS\System32\lanH64.sys (system)

twpR32
O20 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll

pptp32
O20 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\pptp32.dll
MMX2 virtualization service: \??\C:\WINDOWS\System32\pptp64.sys (autostart)
MMX virtualization service: \??\C:\WINDOWS\System32\pptp64.sys (system)

semd32
O20 - Winlogon Notify: semd32 - C:\WINDOWS\SYSTEM32\semd32.dll
SE 3.2 memory driver: \??\C:\WINDOWS\System32\semd64.sys (autostart)
SE 3.0 memory driver: \??\C:\WINDOWS\System32\semd64.sys (system)

mmxF32
O20 - Winlogon Notify: mmxF32 - C:\WINDOWS\SYSTEM32\mmxF32.dll
MMX2 virtualization service: \??\C:\WINDOWS\System32\mmxF64.sys (autostart)
MMX virtualization service: \??\C:\WINDOWS\System32\mmxF64.sys (system)

xmsk32
O20 - Winlogon Notify: xmsk32 - C:\WINDOWS\SYSTEM32\xmsk32.dll

regP32
O20 - Winlogon Notify: regP32 - C:\WINDOWS\SYSTEM32\regP32.dll
Registry protect service 2: \??\C:\WINDOWS\System32\regP32.sys (autostart)
Registry protect service: \??\C:\WINDOWS\System32\regP64.sys (system)

mmX432
O20 - Winlogon Notify: mmx432 - C:\WINDOWS\SYSTEM32\mmx432.dll
MMX Virtualization Service: \??\C:\WINDOWS\System32\mmx464.sys (autostart)
MMX2 Virtualization Service: \??\C:\WINDOWS\System32\mmx464.sys (autostart)

sslx32
O20 - Winlogon Notify: sslx32 - C:\WINDOWS\SYSTEM32\sslx32.dll

Haxdoor: ****16.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****16 - C:\WINDOWS\SYSTEM32\****16.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
xptp16
O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
XPPTP winsock version 2: \??\C:\WINDOWS\System32\xptp24.sys (autostart)
XPPTP winsock: \??\C:\WINDOWS\System32\xptp24.sys (system)

pptp16
O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll
MMX2 virtualization service: \??\C:\WINDOWS\System32\pptp24.sys (autostart)
MMX virtualization service: \??\C:\WINDOWS\System32\pptp24.sys (system)

ppts16
O20 - Winlogon Notify: ppts16 - C:\WINDOWS\SYSTEM32\ppts16.dll
MMX2 emulation service: \??\C:\WINDOWS\System32\ppts24.sys (autostart)
MMX emulation service: \??\C:\WINDOWS\System32\ppts24.sys (system)

skyx16
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
DVBa emulation service: \??\C:\WINDOWS\System32\skyx24.sys (autostart)
DVB emulation service: \??\C:\WINDOWS\System32\skyx24.sys (system)

skyu16
O20 - Winlogon Notify: skyu16 - C:\WINDOWS\SYSTEM32\skyu16.dll
DVB X11 controller¹: \??\C:\WINDOWS\System32\skyu24.sys (autostart)
DVBa X11 controllerëDVB X11 controller¹: \??\C:\WINDOWS\System32\skyu24.sys (system)

Haxdoor: ****xt.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****xt - C:\WINDOWS\SYSTEM32\****xt.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
mmx4xt
O20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\mmx4xt.dll
MMX virtualization service: \??\C:\WINDOWS\System32\mmx4xm.sys (system)
MMX2 virtualization service: \??\C:\WINDOWS\System32\mmx4xm.sys (autostart)

Haxdoor: ****tt.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****tt - C:\WINDOWS\SYSTEM32\****tt.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
xptptt
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
XPPTP 0x24 winsock: \??\C:\WINDOWS\System32\xptpmm.sys (system)
XPPTP 0x25 winsock: \??\C:\WINDOWS\System32\xptpmm.sys (autostart)

xdudtt
O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll
XPPTP 0x24 winsock: \??\C:\WINDOWS\System32\xdudmm.sys (system)
XPPTP 0x25 winsock: \??\C:\WINDOWS\System32\xdudmm.sys (autostart)

Haxdoor: ****dx.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****dx - C:\WINDOWS\SYSTEM32\****dx.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
wxtwdx
O20 - Winlogon Notify: wxtwdx - C:\WINDOWS\SYSTEM32\wxtwdx.dll
wxtwdu PNP DRIVER: \??\C:\WINDOWS\System32\wxtwdu.sys (system)
wxtw PNP DRIVER: \??\C:\WINDOWS\System32\wxtwdx.sys (autostart)

dxtpdx
O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll
MMX virtualization service: \??\C:\WINDOWS\System32\dxtpdh.sys (system)
MMX2 virtualization service: \??\C:\WINDOWS\System32\dxtpdx.sys (autostart)

Haxdoor: ****01.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****01 - C:\WINDOWS\SYSTEM32\****01.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
yvpp01
O20 - Winlogon Notify: yvpp01 - C:\WINDOWS\SYSTEM32\yvpp01.dll
NDIS OSI32: \??\C:\WINDOWS\System32\yvpp01.sys (autostart)
NDIS OSI: \??\C:\WINDOWS\System32\yvpp02.sys (system)

yvbb01
O20 - Winlogon Notify: yvbb01 - C:\WINDOWS\SYSTEM32\yvbb01.dll

Haxdoor: ****ax.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****ax - C:\WINDOWS\SYSTEM32\****ax.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
vistax
O20 - Winlogon Notify: vistax - C:\WINDOWS\SYSTEM32\vistax.dll
SE 3.0 memory driver: \??\C:\WINDOWS\System32\vistaj.sys (system)
SE 3.2 memory driver: \??\C:\WINDOWS\System32\vistaj.sys (autostart)

Haxdoor: ****3a.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: xxxx3a - C:\WINDOWS\SYSTEM32\****3a.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
dvb03a
O20 - Winlogon Notify: dvb03a - C:\WINDOWS\SYSTEM32\dvb03a.dll

Haxdoor: ****gs.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****gs - C:\WINDOWS\SYSTEM32\****gs.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
sergtgs
O20 - Winlogon Notify: sertgs - C:\WINDOWS\SYSTEM32\sertgs.dll
TCPIP2 Kernel: \??\C:\WINDOWS\System32\sertgm.sys (system)
TCPIP2 Kernel32: \??\C:\WINDOWS\System32\sertgm.sys (autostart)

seppgs.dll
O20 - Winlogon Notify: seppgs - C:\WINDOWS\SYSTEM32\seppgs.dll
STK Bi 001: \??\C:\WINDOWS\System32\seppgm.sys (system)
STK Bi 002: \??\C:\WINDOWS\System32\seppgm.sys (autostart)

xcttgs.dl
O20 - Winlogon Notify: xcttgs - C:\WINDOWS\SYSTEM32\xcttgs.dll
STK Bi 001: \??\C:\WINDOWS\System32\xcttgm.sys (system)
STK Bi 002: \??\C:\WINDOWS\System32\xcttgm.sys (autostart)

Haxdoor: ****hh.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****hh - C:\WINDOWS\SYSTEM32\****hh.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
bmtdhh
O20 - Winlogon Notify: bmtdhh - C:\WINDOWS\SYSTEM32\bmtdhh.dll
DVB X11 controller: \??\C:\WINDOWS\System32\bmtdhk.sys (autostart)
DVBa X11 controller: \??\C:\WINDOWS\System32\bmtdhk.sys (system)

Haxdoor: lanmui.dll
O20 - Winlogon Notify: lanmui - C:\WINDOWS\SYSTEM32\lanmui.dll
LAN FW adapter: \??\C:\WINDOWS\System32\lannui.sys (autostart)
LAN MSFW adapter: \??\C:\WINDOWS\System32\lannui.sys (system)

Haxdoor twpkad.dll
O20 - Winlogon Notify: twpkad - C:\WINDOWS\SYSTEM32\twpkad.dll
UDP32 netbios mapping: \??\C:\WINDOWS\System32\twpkbd.sys (autostart)
NETLINK mapping: \??\C:\WINDOWS\System32\twpkbd.sys (system)

Haxdoor ****44.dll
Alle Varianten dieses Typs:
O20 - Winlogon Notify: ****44 - C:\WINDOWS\SYSTEM32\****44.dll
die dieselbe Methode der Infektion anwenden.
(**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)

Bekannte Varianten:
winf44
O20 - Winlogon Notify: winf44 - C:\WINDOWS\SYSTEM32\winf44.dll
winm TCP: \??\C:\WINDOWS\System32\winf44.sys (autostart)
winf49 TCP: \??\C:\WINDOWS\System32\winf49.sys (system)

Haxdoor: debugg.dll
O20 - Winlogon Notify: debugg - C:\WINDOWS\SYSTEM32\debugg.dll

Haxdoor: yvsvga.dll
O20 - Winlogon Notify: yvsvga - C:\WINDOWS\SYSTEM32\yvsvga.dll
NDIS OSI: System32\ycsvga.sys (system)

Haxdoor: xmm13g.dll
O20 - Winlogon Notify: xmm13g - C:\WINDOWS\SYSTEM32\xmm13g.dll
MMX virtualization service: \??\C:\WINDOWS\System32\mmx19g.sys (system)
MMX2 virtualization service: \??\C:\WINDOWS\System32\mmx19g.sys (autostart)

Haxdoor: mmx17g.dll
O20 - Winlogon Notify: mmx17g - C:\WINDOWS\SYSTEM32\mmx17g.dll

Haxdoor: yvprgb.dll
O20 - Winlogon Notify: yvprgb - c:\windows\system32\yvprgb.dll
YVPB video output: \??\C:\WINDOWS\system32\ycsrgb.sys (system)
RGB video output: \??\C:\WINDOWS\system32\ycsrga.sys (autostart)

Haxdoor: rxx5ot.dll
O20 - Winlogon Notify: rxx5ot - C:\WINNT\SYSTEM32\rxx5ot.dll

Haxdoor: ydsvgd.dll
O20 - Winlogon Notify: ydsvgd - C:\WINDOWS\SYSTEM32\ydsvgd.dll

Haxdoor: xopptp.dll
O20 - Winlogon Notify: xopptp - C:\WINDOWS\SYSTEM32\xopptp.dll
YVPB video output:\??\C:\WINDOWS\system32\xdpptp.sys (system)
xopptp.dll
xdpptp.sys
xopptp.sys

Haxdoor: yvdrgb.dll
O20 - Winlogon Notify: yvdrgb - C:\WINDOWS\SYSTEM32\yvdrgb.dll
YVPB video output: \??\C:\WINDOWS\System32\ycsrgb.sys (system)
RGB video output: \??\C:\WINDOWS\System32\ycsrga.sys (autostart)
yvdrgb.dll
ycsrgb.sys

Haxdoor: emul65.dll
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
DCode emulator A37: \??\C:\WINDOWS\System32\emul37.sys (system)
DCode emulator: \??\C:\WINDOWS\System32\emul65.sys (autostart)
emul65.dll
emul65.sys
emul37.sys

Haxdoor: wnmicf.dll
O20 - Winlogon Notify: wnmicf - C:\WINDOWS\SYSTEM32\wnmicf.dll
MClear Service: \??\C:\WINDOWS\System32\wnmicf.sys (autostart)
FClear Service: \??\C:\WINDOWS\System32\wnmifc.sys (system)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnmicf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnmifc
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot \minimal\wnmicf.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot \minimal\wnmifc.sys
wnmicf.dll
wnmicf.sys
wnmifc.sys

Haxdoor: rmk8ot.dll
O20 - Winlogon Notify: rmk8ot - C:\WINDOWS\SYSTEM32\rmk8ot.dll
MMX2 virtualization service: \??\C:\WINDOWS\System32\rmk9ot.sys (autostart)
MMX virtualization service: \??\C:\WINDOWS\System32\rmk9ot.sys (system)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rmk8ot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rmk9ot
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot \minimal\rmk8ot.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot \minimal\rmk9ot.sys
rmk8ot.dll
rmk8ot.sys
rmk9ot.sys

Haxdoor: svkvpn.dll
O20 - Winlogon Notify: svkvpn - C:\WINDOWS\SYSTEM32\svkvpn.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\svkvpn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\svjvpn.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\svjvpn.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svjvpn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svkvpn
MCRT accelerator: \??\C:\WINDOWS\System32\svjvpn.sys (system)
DCRT acceleratorU‹ìè: \??\C:\WINDOWS\System32\svjvpm.sys (autostart)
svkvpn.dll
svjvpn.sys
svkvpn.sys

Haxdoor: utgrbe.dll
O20 - Winlogon Notify: utgrbe - C:\WINDOWS\SYSTEM32\utgrbe.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\utgrbe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\utgrbe.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\ufgrbe.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ufgrbe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\utgrbe
utgrbe.dll
utgrbe.sys
ufgrbe.sys

Haxdoor: eetvpn.dll
O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
MCRT accelerator: \??\C:\WINDOWS\System32\eexvpn.sys (system)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\eetvpn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\eetvpn.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\eexvpn.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eetvpn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eexvpn
eetvpn.dll
eetvpn.sys
eexvpn.sys

Haxdoor: wsmsag.dll
O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll
RGB video output: \??\C:\WINDOWS\System32\mswsaf.sys (autostart)
IPSTK driver: \??\C:\WINDOWS\System32\mswsag.sys (system)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wsmsag
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wsmsag
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mswsag
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\mswsag.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\mswsag.sys
wsmsag.dll
mswsag.sys
wsmsag.sys

Haxdoor: ovrscn.dll
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
Memory SCN X1: \??\C:\WINDOWS\System32\ovrscn.sys (autostart)
Memory SCN: \??\C:\WINDOWS\System32\ovwscn.sys (system)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ovrscn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovrscn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovwscn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\ovrscn.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\ovrscn.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\ovwscn.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\ovwscn.sys
ovrscn.dll
ovrscn.sys
ovwscn.sys

Haxdoor: rgbopx.dll
O20 - Winlogon Notify: rgbopx - C:\WINDOWS\SYSTEM32\rgbopx.dll
YVPB video output: \??\C:\WINDOWS\system32\ycsrgb.sys
RGB video output: \??\C:\WINDOWS\system32\ycsrga.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rgbopx
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rgbopx
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ycsrgb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\rgbopx.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\ycsrgb.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\rgbopx.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\ycsrgb.sys
rgbopx.dll
ycsrgb.sys
ycsrga.sys

Haxdoor: ewsmsg.dll
O20 - Winlogon Notify: ewsmsg - C:\WINDOWS\SYSTEM32\ewsmsg.dll
HDTV video output: \??\C:\WINDOWS\system32\gmswsa.sys (autostart)
IPV6STK driver: \??\C:\WINDOWS\system32\gmswsa.sys (system)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewsmsg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gmswsa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\gmswsa.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\gmswsa.sys
C:\WINDOWS\SYSTEM32\ewsmsg.dll
C:\WINDOWS\SYSTEM32\ewsmsg.sys
C:\WINDOWS\SYSTEM32\gmswsa.sys

Wieder-Installationsprozesse:
O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
C:\WINDOWS\userinit.exe
C:\WINDOWS\kernel%32.exe

HaxFix
Alle hier beschriebenen Varianten und alle unbekannten Typen, die dieselbe Methode der Infektion anwenden, können mit dem HaxFix entfernt werden.

Wie entfernt man das:
Download haxfix.exe.
Speichere sie auf deinem Desktop.
Schliesse alle anderen Programme und schliesse alle offenen Fenster.
Doppelklicke auf die haxfix.exe, um das Programm zu starten.
Nun öffnet sich ein rotes DOS-Fensterchen mit folgendem Auswahl-Menu:
1. Make logfile
E. Exit Haxfix

Option 1: Make logfile.
Wähle die Option 1: Erstelle ein Logfile durch auf die 1 zu drücken.
Das kann einen Moment dauern. Wenn HaxFix damit fertig ist, öffnet es eine Textdatei (haxlog.txt)
Diese Option musst du zuerst gebrauchen. Es wird ein Logfile erstellt, dass dir alle möglichen Kandidaten anzeigt, die auf die Anwesenheit von einer der Haxdoorvarianten hinweisen können.

Die Prüfung geschieht für:
- die Datei ps.a3d (die einzige Datei bei allen Varianten, die nicht von dem Rootkit versteckt wird)
- notify subkeys van het type ****16, ****32, ****xt, ****tt
- services van het type ****16, ****24, ****32, ****64, ****xt, ****xm, ****tt, ****mm,..
- safeboot services van het type ****16.sys, ****24.sys, ****32.sys, ****64.sys, ****xt.sys, ****xm.sys, ****tt.sys, ****mm.sys,...
Dieses Logfile musst du zulassen, um die richtige Diagnose zu stellen, in Verbindung mit der Anwesenheit von einer oder mehreren Haxdoorvarianten.

Starte das Haxfix auf deinem Desktop erneut, indem du auf das HaxFix Ikonchen klickst.
Du erhältst nun ein Auswahl-Menü mit folgenden Optionen:
1. Make logfile
2. Run auto fix
3. Run manual fix
4. Run unknown fix
E. Exit Haxfix

Triff nun eine Auswahl zwischen Option 2 und Option 3

Option 2: Lass das automatische Fix laufen.
Schliesse alle anderen Anwendungen und Fenster, der Computer wird während des Gebrauchs vom HaxFix neu aufstarten.
Gib die 2 ein und drücke auf ENTER, um die Option 2 "Run auto fix" zu starten.
Folge den Anweisungen auf dem Schirm.
Der Rechner wird nun neu aufstarten.
Wenn das Haxfix fertig ist, öffnet es einen Textbestand (c:\haxfix.txt)

Diese Option arbeitet weiter mit den gefundenen Notify Schlüsseln.
Sie führt für jeden gefundenen Schlüssel eine Kontrolle auf die Anwesenheit eines Service oder eines Safebootservice aus.
(Insgesamt wird auf 6 verschiedene Registrierungs Schlüssel geprüft)
Wird einer der Services oder Safebootservices gefunden, startet der Fix.
Wird kein übereinstimmender Service / Safebootservice gefunden, gibt es keinen Fix für den Notify Schlüssel, er wird negiert.
Aus dem Logfile unter der Option 1 kannst du alle Information dazu abfragen.

Option 3: lass das manuelle Fix laufen.
Schliesse alle anderen Anwendungen und Fenster, der Computer wird während der Anwendung des HaxFix neu aufstarten.
Gib die 3 ein und drücke auf ENTER, um die Option 3 "Run manual fix" zu starten.
Wenn folgende Meldung kommt:
Insert the haxdoorkey,
and then press enter:
Gib folgendes ein: <haxdoorkey **** (ohne die Nummern)>
(beispielsweise: avpe, pptp, fuxx, snda, xptp ....)
Drücke auf ENTER.
Nun kommt folgender Bericht:
Haxdoorkey **** added to delete.

Do you want to add a new haxdoorkey?

Press Y for YES or N for NO and then press Enter:

( übersetzt: Haxdoorkey **** zum löschen hinzugefügt.
Möchtest du einen neuen Haxdoorschlüssel hinzufügen?
Drücke Y für YES/ja oder N für NO/nein und drücke dann auf ENTER: )

Wenn du noch einen Schlüssel hinzufügen willst:
Drücke auf Y um YES/ja zu wählen.
Wenn der Bericht kommt:
Insert the haxdoorkey,
and then press enter:
Gib folgendes ein: <haxdoorkey **** (ohne die Nummern)>
Drücke auf ENTER.
Nun kommt folgender Bericht:

Haxdoorkey **** added to delete.

Do you want to add a new haxdoorkey?

Press Y for YES or N for NO and then press Enter:
.....

Wenn du keinen Schlüssel mehr hinzufügen willst:
Drücke auf N um NO/nein zu wählen.

Folge den Anweisungen auf dem Bildschirm.
Der Rechner wird neu aufstarten.
Wenn das Haxfix fertig ist, öffnet es eine Textdatei (c:\haxfix.txt).

Diese Option bietet die Möglichkeit um manuell einen Schlüssel hinzuzufügen.
Wenn du einen Schlüssel hinzufügst, geschieht auch hier eine erste Prüfung auf die Anwesenheit eines Services / Safebootservices. Wenn nichts gefunden wird, wird auch kein Schlüssel hinzugefügt.
Sie haben die Möglichkeit mehr als nur einen Schlüssel hinzuzufügen.
Option 3 kannst du verwenden:
- wenn kein Notify Schlüssel gefunden wird.
- wenn legitime Einträge im Logfile stehen, die nicht entfernt werden dürfen.

Information zum Entfernen der Goldun Varianten findest du ->hier.

Option 4: Lass den unbekannten Fix laufen.

Ab der Version 4.43 ist catchme.exe im Haxfix integriert. (Ein Dankeschön an Gmer.)
Das Logfile von catchme wird vom Haxfix auf Haxdoor- und Goldunvarianten geprüft, die den Notifykey und die Services verwenden.
Unbekannte Haxdoor- und Goldunvarianten, die auf diese Weise gefunden werden, können mit der Option 4 entfernt werden.

E. Exit Haxfix
Diese Option beendet das HaxFix.

Sei vorsichtig, denn es können immer legitime Einträge in dem Logfile gezeigt werden, das du mit der Option 1 erstellst.
Wenn es einen Schlüssel Typ auf dem Rechner gibt und ein laufender Service gefunden wird (ein einziger Service reicht bereits aus), dann wird dieser Schlüssel bei der Verwendung von HaxFix gelöscht.

Pass auf, ob du diese Meldung im Logfile findest, die du bei Anwendung von Option 2 und Option 3 bekommen kannst:
"registrysettings failed".
Wenn du diese Meldung bekommst, musst du diesen Befehl eingeben: %systemdrive%\haxfix.exe /reset

Wenn das HaxFix den Rechner neu aufstartet, und sich nach dem neuaufstarten kein Scanbericht öffnet, klicke auf START > Ausführen und tippe/kopiere hier folgenden Befehl in die Schreibspalte ein: %systemdrive%\haxfix.exe /after

Experimentiere NICHT mit diesem Programm!

**Ruby** · 08.04.2006 06:13

Ergänzung zur Verdeutlichung:

als haxdoorkey (übersetzt: Haxdoorschlüssel)
bezeichnet man die, im jeweiligen Logfile auftretenden, Buchstaben,
die man ohne die Zahl und ohne die Endung eingibt.

<haxdoorkey **** (ohne die Nummern)>
als haxdoorkey -> gibst du den Schlüssel des Haxdoor von deinem System ein (Beispiele):

C:\WINDOWS\SYSTEM32\avpe32.dll -> <haxdoorkey **** (ohne die Nummern)> : avpe
C:\WINDOWS\SYSTEM32\avpx32.dll -> <haxdoorkey **** (ohne die Nummern)> : avpx
C:\WINDOWS\SYSTEM32\avpi32.dll -> <haxdoorkey **** (ohne die Nummern)> : avpi
C:\WINDOWS\SYSTEM32\fuxx32.dll -> <haxdoorkey **** (ohne die Nummern)> : fuxx
C:\WINDOWS\SYSTEM32\cert32.dll -> <haxdoorkey **** (ohne die Nummern)> : cert
C:\WINDOWS\SYSTEM32\tcpR32.dll -> <haxdoorkey **** (ohne die Nummern)> : tcpR
C:\WINDOWS\SYSTEM32\axxt32.dll -> <haxdoorkey **** (ohne die Nummern)> : axxt
C:\WINDOWS\SYSTEM32\winm32.dll -> <haxdoorkey **** (ohne die Nummern)> : winm
C:\WINDOWS\SYSTEM32\snda32.dll -> <haxdoorkey **** (ohne die Nummern)> : snda
C:\WINDOWS\SYSTEM32\sndu32.dll -> <haxdoorkey **** (ohne die Nummern)> : sndu
C:\WINDOWS\SYSTEM32\lanH32.dll -> <haxdoorkey **** (ohne die Nummern)> : lanH
C:\WINDOWS\SYSTEM32\twpR32.dll -> <haxdoorkey **** (ohne die Nummern)> : twpR
C:\WINDOWS\SYSTEM32\pptp32.dll -> <haxdoorkey **** (ohne die Nummern)> : pptp
C:\WINDOWS\SYSTEM32\semd32.dll -> <haxdoorkey **** (ohne die Nummern)> : semd
C:\WINDOWS\SYSTEM32\mmxF32.dll -> <haxdoorkey **** (ohne die Nummern)> : mmxF

C:\WINDOWS\SYSTEM32\xptp16.dll -> <haxdoorkey **** (ohne die Nummern)> : xptp
C:\WINDOWS\SYSTEM32\pptp16.dll -> <haxdoorkey **** (ohne die Nummern)> : pptp
C:\WINDOWS\SYSTEM32\skyx16.dll -> <haxdoorkey **** (ohne die Nummern)> : skyx

Bitte den betreffenden Haxdoorschlüssel (haxdoorkey)
bei den Optionen 1 und 3
dann eingeben, wenn das Programm danach fragt.

Bitte jeden anderen logfilespezifischen Haxdoorschlüssel (haxdoorkey) analog eingeben.

**Ruby** · 02.07.2006 15:12

Goldun

Downloadlink HaxFix: http://users.telenet.be/marcvn/tools/haxfix.exe
Spiegel: http://download.bleepingcomputer.com/marckie/haxfix.exe
Wie verwendet man das HaxFix:
Mach einen Doppelklick auf die haxfix.exe um das Programm laufen zu lassen.
Ein rotes "dos window" (DOS BOX) wird sich nun mit folgenden Optionen öffnen:
1. Make logfile
E. Exit Haxfix

Wähle die Option "1. Make logfile" indem du die 1 eingibst, drücke dann auf ENTER.
Haxfix wird deinen Rechner nun scannen. Wenn es fertig ist, öffnet sich der Scanbericht (c:\HaxFix\haxlog.txt).

Wenn die Option 1 durchgelaufen ist, wirst du ein neues Menü mit allen Optionen erhalten:
1. Make logfile
2. Run auto fix
3. Run manual fix
4. Run unknow fix
E. Exit Haxfix

Wenn eine Goldun-Infektion gefunden wurde, setze bitte den Entfernungsprozess fort.
Schließe alle anderen Anwendungen und Fenster, denn dieser Schritt erfordert ein Neuaufstarten des Rechners.
Wähle Option "2. Run auto fix" indem du die 2 eingibst, drücke dnn auf Enter.
Wenn eine Infektion vorgefunden wird, erhältst du eine Mitteilung alle anderen offenen Fenster zu schließen.
Schließe alle offenen Fenster außer dem roten DOS Fenster vom HaxFix und drücke dann auf Enter.
Der Rechner wird neuaufstarten.
Nach den neuaufstarten öffnet sich der Scanbericht (c:\haxfix.txt).

Achtung:
Wenn du diese Mitteilung im Scanbericht siehst: registrysettings failed
verwende bitte diesen Befehl: %systemdrive%\haxfix.exe /reset

Wenn du nach dem neuaufstarten keinen Scanbericht bekommst, verwende folgenden Befehl:
%systemdrive%\haxfix.exe /after

Einige neue Varianten des Goldun infizieren die iexplore.exe und 'tropfen' eine Fake Kopie der sfc_os.dll in den system32 Ordner. Eine Kopie der alten iexplore.exe und sfc_os.dll wird in den temp-Ordner als eine (random??) .tmp Datei verschoben.

Das Haxfix untersucht ob die iexplore.exe mit dieser Variante infiziert ist und es untersucht, ob eine saubere Kopie der iexplore.exe im dllcache oder im temp-Ordner vorhanden ist.
Wenn die iexplore.exe infiziert ist, wird es sie durch die Kopie ersetzen, die im
dllcache oder im temp-Ordner gefunden wird. Das Gleiche gilt für die sfc_os.dll. Wenn keine Kopiene der iexplore.exe gefunden werden, wird der Internet Explorer nach Verwendung des Removers nicht mehr starten.

Andere Optionen des HaxFix:
Mehr Information zu den Haxdoor Varianten kannst du hier nachlesen.

HaxFix kann folgende Varianten von Goldun - Haxspy entfernen:

Notify keys::

O20 - Winlogon Notify: aeskap - C:\WINDOWS\SYSTEM32\aeskap.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\aeskap

O20 - Winlogon Notify: agpbrdg0 - C:\WINDOWS\SYSTEM32\agpbrdg0.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\agpbrdg0

O20 - Winlogon Notify: arprmdg0 - C:\WINDOWS\SYSTEM32\arprmdg0.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arprmdg0

O20 - Winlogon Notify: asusrx20 - C:\WINDOWS\SYSTEM32\asusrx20.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\asusrx20

O20 - Winlogon Notify: ati2kaag - C:\WINDOWS\SYSTEM32\ati2kaag.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ati2kaag

O20 - Winlogon Notify: ati2krtg - C:\WINDOWS\SYSTEM32\ati2krtg.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ati2krtg

O20 - Winlogon Notify: ati2paag - C:\WINDOWS\SYSTEM32\ati2paag.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ati2paag

O20 - Winlogon Notify: atiddaxx - C:\WINDOWS\SYSTEM32\atiddaxx.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atiddaxx

O20 - Winlogon Notify: atietaxx - C:\WINDOWS\SYSTEM32\atietaxx.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atietaxx

O20 - Winlogon Notify: atixdaxx - C:\WINDOWS\SYSTEM32\atixdaxx.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atixdaxx

O20 - Winlogon Notify: atixdbxx - C:\WINDOWS\SYSTEM32\atixdbxx.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atixdbxx

O20 - Winlogon Notify: avload32 - C:\WINDOWS\SYSTEM32\avload32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avload32

O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\axdebugl

O20 - Winlogon Notify: bootrom8 - C:\WINDOWS\SYSTEM32\bootrom8.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bootrom8

O20 - Winlogon Notify: bt848rom - C:\WINDOWS\SYSTEM32\bt848rom.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bt848rom

O20 - Winlogon Notify: cdscsix3 - C:\WINDOWS\SYSTEM32\cdscsix3.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cdscsix3

O20 - Winlogon Notify: ddirectz - C:\WINDOWS\SYSTEM32\ddirectz.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddirectz

O20 - Winlogon Notify: directpt - C:\WINDOWS\SYSTEM32\directpt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\directpt

O20 - Winlogon Notify: directut - C:\WINDOWS\SYSTEM32\directut.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\directut

O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\docent0

O20 - Winlogon Notify: docent2 - C:\WINDOWS\SYSTEM32\docent2.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\docent2

O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dvd4free

O20 - Winlogon Notify: emldvc - C:\WINDOWS\SYSTEM32\emldvc.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\emldvc

O20 - Winlogon Notify: extxerox - c:\WINDOWS\SYSTEM32\extxerox.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\extxerox

O20 - Winlogon Notify: extfpu - C:\WINDOWS\SYSTEM32\extfpu.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\extfpu

O20 - Winlogon Notify: fanxctrl - C:\WINDOWS\SYSTEM32\fanxctrl.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fanxctrl

O20 - Winlogon Notify: flashdma - C:\WINDOWS\SYSTEM32\flashdma.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\flashdma

O20 - Winlogon Notify: gatwxkey - C:\WINDOWS\SYSTEM32\gatwxkey.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gatwxkey

O20 - Winlogon Notify: f3dsl - C:\WINDOWS\SYSTEM32\lsd_f3.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\f3dsl

O20 - Winlogon Notify: F8adsl - C:\WINDOWS\SYSTEM32\MSplg7.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\F8adsl

O20 - Winlogon Notify: flashdrvr - C:\WINDOWS\SYSTEM32\flashdrvr.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\flashdrvr

O20 - Winlogon Notify: gatexkey - C:\WINDOWS\SYSTEM32\gatexkey.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gatexkey

O20 - Winlogon Notify: gdiwxp - C:\WINDOWS\SYSTEM32\gdiwxp.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gdiwxp

O20 - Winlogon Notify: gdwxp3 - C:\WINDOWS\System32\gdwxp3.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gdwxp3

O20 - Winlogon Notify: hpprintx - C:\WINDOWS\SYSTEM32\hpprintx.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hpprintx

O20 - Winlogon Notify: ideusr50 - C:\WINDOWS\SYSTEM32\ideusr50.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ideusr50

O20 - Winlogon Notify: ies4dll - C:\WINDOWS\SYSTEM32\ies4dll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ies4dll

O20 - Winlogon Notify: iesdl4l - C:\WINDOWS\SYSTEM32\iesdl4l.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iesdl4l

O20 - Winlogon Notify: isodvrtg - C:\WINDOWS\SYSTEM32\isodvrtg.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\isodvrtg

O20 - Winlogon Notify: ke32paag - C:\WINDOWS\SYSTEM32\ke32paag.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ke32paag

O20 - Winlogon Notify: ksapgh - C:\WINDOWS\SYSTEM32\ksapgh.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersi on\Winlogon\Notify\ksapgh

O20 - Winlogon Notify: lgn1216a - C:\WINDOWS\SYSTEM32\lgn1216a.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lgn1216a

O20 - Winlogon Notify: linksrv0 - C:\WINDOWS\SYSTEM32\linksrv0.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\linksrv0

O20 - Winlogon Notify: logon032 - C:\WINDOWS\SYSTEM32\logon032.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logon032

O20 - Winlogon Notify: logon16x - C:\WINDOWS\SYSTEM32\logon16x.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logon16x

O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\SYSTEM32\mcfCC4.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4

O20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfG7A

O20 - Winlogon Notify: md4hsh - C:\WINDOWS\SYSTEM32\md4hsh.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\md4hsh

O20 - Winlogon Notify: mdfpro - C:\WINDOWS\SYSTEM32\mdfpro.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mdfpro

O20 - Winlogon Notify: mi5035a0 - C:\WINDOWS\SYSTEM32\mi5035a0.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mi5035a0

O20 - Winlogon Notify: mmcdll - C:\WINDOWS\SYSTEM32\mmcdll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mmcdll

O20 - Winlogon Notify: mmxeroxk - C:\WINDOWS\SYSTEM32\mmxeroxk.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mmxeroxk

O20 - Winlogon Notify: nclabydll - C:\WINDOWS\SYSTEM32\nclabydll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nclabydll

O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nkunpack

O20 - Winlogon Notify: nucdrvdll - C:\WINDOWS\SYSTEM32\nucdrvdll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nucdrvdll

O20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32\nuclabdll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nuclabdll

O20 - Winlogon Notify: nvsystl0 - C:\WINDOWS\SYSTEM32\nvsystl0.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nvsystl0

O20 - Winlogon Notify: obbf115 - C:\WINDOWS\SYSTEM32\obbf115.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\obbf115

O20 - Winlogon Notify: obbn13t - C:\WINDOWS\SYSTEM32\obbn13t.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\obbn13t

O20 - Winlogon Notify: openglss - C:\WINDOWS\SYSTEM32\openglss.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\openglss

O20 - Winlogon Notify: openglwx - C:\WINDOWS\SYSTEM32\openglwx.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\openglwx

O20 - Winlogon Notify: pasksa - C:\WINDOWS\SYSTEM32\pasksa.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pasksa

O20 - Winlogon Notify: printpnp - C:\WINDOWS\SYSTEM32\printpnp.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\printpnp

O20 - Winlogon Notify: printpn2 - C:\WINDOWS\SYSTEM32\printpn2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\printpn2

O20 - Winlogon Notify: prtsks - C:\WINDOWS\SYSTEM32\prtsks.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\prtsks

O20 - Winlogon Notify: prwsks - C:\WINDOWS\SYSTEM32\prwsks.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\prwsks
O20 - Winlogon Notify: psksds - C:\WINDOWS\SYSTEM32\psksds.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psksds

O20 - Winlogon Notify: px86emul - C:\WINDOWS\SYSTEM32\px86emul.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\px86emul

O20 - Winlogon Notify: qhdtvv - C:\WINDOWS\SYSTEM32\qhdtvv.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qhdtvv

O20 - Winlogon Notify: rdrVR2 - C:\WINDOWS\SYSTEM32\rdrVR2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rdrVR2

O20 - Winlogon Notify: rege2usb - C:\WINDOWS\SYSTEM32\rege2usb.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rege2usb

O20 - Winlogon Notify: rlx51dom - C:\WINDOWS\SYSTEM32\rlx51dom.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersi on\Winlogon\Notify\rlx51dom

O20 - Winlogon Notify: rlx5dom1 - C:\WINDOWS\SYSTEM32\rlx5dom1.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rlx5dom1

O20 - Winlogon Notify: rsdapi - C:\WINDOWS\System32\rsdapi.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rsdapi

O20 - Winlogon Notify: satad640 - C:\WINDOWS\SYSTEM32\satad640.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\satad640

O20 - Winlogon Notify: satau320 - C:\WINDOWS\SYSTEM32\satau320.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\satau320

O20 - Winlogon Notify: satdll - C:\WINDOWS\SYSTEM32\satdll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\satdll

O20 - Winlogon Notify: satmmc - C:\WINDOWS\SYSTEM32\satmmc.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\satmmc

O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsi2usb

O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\SYSTEM32\scsiusr4.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4

O20 - Winlogon Notify: sdcard98 - C:\WINDOWS\SYSTEM32\sdcard98.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sdcard98

O20 - Winlogon Notify: se500mdm - C:\WINDOWS\SYSTEM32\se500mdm.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\se500mdm

O20 - Winlogon Notify: se633mxx - C:\WINDOWS\SYSTEM32\se633mxx.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\se633mxx

O20 - Winlogon Notify: sha1hsh - C:\WINDOWS\SYSTEM32\sha1hsh.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sha1hsh

O20 - Winlogon Notify: sksdll - C:\WINDOWS\SYSTEM32\sksdll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sksdll

O20 - Winlogon Notify: sysprint - C:\WINDOWS\SYSTEM32\sysprint.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysprint

O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpG4T

O20 - Winlogon Notify: tcpGDC - C:\WINDOWS\SYSTEM32\tcpGDC.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpGDC

O20 - Winlogon Notify: tcpwrk - C:\\WINDOWS\SYSTEM32\tcpwrk.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpwrk

O20 - Winlogon Notify: upsctrl0 - C:\WINDOWS\SYSTEM32\upsctrl0.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\upsctrl0

O20 - Winlogon Notify: vxtnav - C:\WINDOWS\SYSTEM32\vxtnav.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vxtnav

O20 - Winlogon Notify: wartamll - C:\WINDOWS\SYSTEM32\wartamll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersi on\Winlogon\Notify\wartamll

O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\waxw2k

O20 - Winlogon Notify: winprint - C:\WINDOWS\SYSTEM32\winprint.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprint

O20 - Winlogon Notify: wndtx1 - C:\WINDOWS\SYSTEM32\wndtx1.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wndtx1

O20 - Winlogon Notify: wsmsge - C:\WINDOWS\SYSTEM32\wsmsge.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wsmsge

O20 - Winlogon Notify: xartcd5 - C:\WINDOWS\SYSTEM32\xartcd5.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xartcd5

O20 - Winlogon Notify: xcdmfree - C:\WINDOWS\SYSTEM32\xcdmfree.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xcdmfree

O20 - Winlogon Notify: xkeyshll - C:\WINDOWS\SYSTEM32\xkeyshll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xkeyshll

O20 - Winlogon Notify: xtav3des - C:\WINDOWS\SYSTEM32\xtav3des.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xtav3des

O20 - Winlogon Notify: zopenssl - C:\WINDOWS\SYSTEM32\zopenssl.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Zopenssl

Services:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agpbrdg 5

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\armdvc
ARM TSL device: \??\C:\WINDOWS\System32\armdvc.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\armrfc
ARM FDCG850 device: \??\C:\WINDOWS\System32\armrfc.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\arprmdg 5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asusrx2 5

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\ati2ksa g
Object memory mapping 8.0: \??\C:\WINDOWS\System32\ati2ksag.sys (system)

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\ati2kst g
Object memory mapping 8.0 : \??\C:\WINDOWS\System32\ati2kstg.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati2psa g
Object memory mapping 8.0: \??\C:\WINDOWS\System32\ati2psag.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atiddbx x
ATI TnL Rendering: \??\C:\WINDOWS\System32\atiddbxx.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atietbx x

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atixdbx x
ATI Hardware TnL Rendering: \??\C:\WINDOWS\System32\atixdbxx.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axdebug ld
OPENSSL cryptoapi: \??\C:\WINDOWS\System32\axdebugld.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdscsix 3r
CDRW overrun protection: \??\C:\WINDOWS\System32\cdscsix3r.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpudev
CPU microcode correction: \??\C:\WINDOWS\System32\cpudev.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CsdDriv er
CsdDriver \??\C:\WINDOWS\System32\CsdDriver.sys (manual start)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ddirect xt
INPUT/OUTPUT printing: \??\C:\WINDOWS\System32\ddirectxt.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\directp rt
IO Direct printing service: \??\C:\WINDOWS\System32\directprt.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\directo ut

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\docentd

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkern l

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eps32sy s

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\epsn2sy s
EPS Printer driver: \??\C:\WINDOWS\System32\epsn2sys.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\epsonsy s
EPS Printer driver: \??\C:\WINDOWS\System32\epsonsys.sys (system)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\estsprt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fanxctr ld

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashdr v3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashsm t
Rege memory mapper \??\C:\WINDOWS\System32\flashsmt.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpuext

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gdiw2k

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gdow2k

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpprint drv
HP32X Printer driver: \??\C:\WINDOWS\System32\hpprintdrv.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idersrv c

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ies4ser vice

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iesserv ice4
LOGON support service: \??\C:\WINDOWS\System32\iesservice4.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iesprt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipudpb2
IP2 UDPB2: \??\C:\WINDOWS\System32\ipudpb2.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\isodvst g
Object memory mapping 8.0: \??\C:\WINDOWS\System32\isodvstg.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\k53lock
VMemory protect: \??\C:\WINDOWS\System32\k53lock.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ke32psa g

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ke7dnl
AVXSearch service: \??\C:\WINDOWS\System32\ke7dnl.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kednld
MCAfee update srvc: \??\C:\WINDOWS\System32\kednld.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\linksrv d

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m32lock

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcfdrv
MCFservice: \??\C:\WINDOWS\System32\mcfdrv.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mfstcpi p

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mi5035a 5
ASUS PCI controller: \??\C:\WINDOWS\System32\mi5035a5.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mm77lgn
mm77lgn control service: \??\C:\WINDOWS\System32\mm77lgn.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmccrd
MMC card reader: \??\C:\WINDOWS\System32\mmccrd.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmlogon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msftcpi p

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msrdr2
IP correction service: \??\C:\WINDOWS\System32\msrdr2.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msudp4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mswsaf
HDTV video output: \??\C:\WINDOWS\System32\mswsaf.sys (autostart)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nclaby
NOD AV service: \??\C:\WINDOWS\System32\nclaby.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\necsort
Kernel TCP Filtering protocol: \??\C:\WINDOWS\System32\necsort.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nkgfs
NK45 file system driver: \??\C:\WINDOWS\System32\nkcfg.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nodanti vir
NOD AV service: \??\C:\WINDOWS\System32\nodantivir.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nucdrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nuclab

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvmapi
NVidia TLayer gateway A2;\??\C:\WINDOWS\System32\nvmapi.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvnati
NVidia XTLayer gateway : \??\C:\WINDOWS\System32\nvnati.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvnatv
Nvdia Native Rendering : \??\C:\WINDOWS\System32\nvnatv.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvsystl 3
PPA Virtial rendering: \??\C:\WINDOWS\System32\nvsystl3.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obbf117
Kernel Objects Manager: \??\C:\WINDOWS\System32\obbf117.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obbn13r t
Windows Objects manager: \??\C:\WINDOWS\System32\obbn13rt.sys (system)

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\opengls sd

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\openglw xd
OPENGL technology access: \??\C:\WINDOWS\System32\openglwxd.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p76xxsk s
USB p76xxsks: \??\C:\WINDOWS\System32\p76xxsks.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p79bsks b
USB p79bsksb: \??\C:\WINDOWS\System32\p79bsksb.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\p81eskse
FWSHIFT service \??\C:\WINDOWS\System32\p81eskse.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prt21sk s

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prt47sy s
PRT4701 Printer driver \??\C:\WINDOWS\System32\prt47sys.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prw76sk s
USB prw76sks: \??\C:\WINDOWS\System32\prw76sks.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ramvxt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\regepsr vc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66do b

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx6dob 6

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\satad64 5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\satau32 5
SATA bus driver: \??\C:\WINDOWS\System32\satau325.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsr vc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdcardX 2
KMX direct access: \??\C:\WINDOWS\System32\sdcardX2.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\se500md md
SE500 Generic: \??\C:\WINDOWS\System32\se500mdmd.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\se633mx xd
IRDa Modem device #12: \??\C:\WINDOWS\system32\se633mxxd.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sha1krn l
Kernel CryptoService: \??\C:\WINDOWS\System32\sha1krnl.sys (system)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sks2drv r

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\socket5 73

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\socketx 113

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssipod1
IPODT1000: \??\C:\WINDOWS\System32\ssipod1.sys (system)

UPS COMcontrol: \??\C:\WINDOWS\system32\upsctrl3.sys (system)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\upsctrl 3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vxdgfx

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vxvgfv
VXV CPU device: \??\C:\WINDOWS\System32\vxvgfv.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wartamd
SECURE SHELL access driver: \??\C:\WINDOWS\System32\wartamd.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnlogon
UDP packet correction: \??\C:\WINDOWS\System32\wnlogon.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnlogow

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wrmdrv
WRM CPU driver: \??\C:\WINDOWS\System32\wrmdrv.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\x86emul
FPU emulation service: \??\C\:WINDOWS\system32\x86emul.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xartcd7
Kernel Objects Manager: \??\C:\WINDOWS\system32\xartcd7.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xcdkern l

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xdrve9d
IPv6 BT converter: \??\C:\WINDOWS\System32\xdrve9d.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xkeyshd
SECURE SHELL access driver: \??\C:\WINDOWS\System32\xkeyshd.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zopenss ld
OPENGL technology access: \??\C:\WINDOWS\System32\zopenssld.sys (system)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zopenss ld
OPENSSL cryptoapi: \??\C:\WINDOWS\System32\zopenssld.sys (system)

ShellServiceObjectDelayLoad:

These keys are hidden by the rootkit.
O21 - SSODL: MemMan - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\System32\MemMan.dll
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad]
"MemMan"="{523455E4-ABCD-ABCD-1114-D709ADD3DDAB}"

O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\System32\UpperHost.dll
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad]
"UpperHost"="{523455E4-ABCD-ABCD-1114-D709ADD3DDAB}"

Patched iexplore.exe:

msdom32.dll
msvcrl.dll

Andere Anzeichen einer Infektion:

F2 - REG:system.ini: Shell=explorer.exe vmmdiag32.exe
O4 - HKCU\..\Run: [kernel%32.exe] C:\WINDOWS\kernel%32.exe
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe

Dateien:

Windows Ordner:
kernel%32.exe
userinit.exe

System32 Ordner:
aeskap.dll
agpbrdg0.dll
agpbrdg5.sys
armdvc.sys
armrfc.sys
arprmdg0.dll
arprmdg5.sys
asusrx20.dll
asusrx25.sys
ati2kaag.dll
ati2krtg.dll
ati2ksag.sys
ati2kstg.sys
ati2paag.dll
ati2psag.sys
atiddaxx.dll
atiddbxx.sys
atietaxx.dll
atietbxx.sys
atixdaxx.dll
atixdbxx.dll
atixdbxx.sys
avload32.dll
axdebugl.dll
axdebugld.sys
bootrom8.dll
bt848rom.dll
cdscsix3.dll
cdscsix3r.sys
cpudev.sys
CsdDriver.sys
ddirectxt.sys
ddirectz.dll
directout.sys
directprt.sys
directpt.dll
directut.dll
docent0.dll
docent2.dll
docentd.sys
dvd4free.dll
dvdkernl.sys
emldvc.dll
eps32sys.sys
epsn2sys.sys
epsonsys.sys
estsprt.sys
extxerox.dll
extfpu.dll
fanxctrl.dll
fanxctrld.sys
flashdma.dll
flashdrv3.sys
flashdrvr.dll
flashsmt.sys
fpuext.sys
gatexkey.dll
gatwxkey.dll
gdiw2k.sys
gdiwxp.dll
gdow2k.sys
gdwxp3.dll
hpprintdrv.sys
hpprintx.dll
hrpdcf.bin
idersrvc.sys
ideusr50.dll
ies4dll.dll
ies4service.sys
iesdl4l.dll
iesservice4.sys
iesprt.sys
ipudpb2.sys
isodvrtg.dll
isodvstg.sys
k53lock.sys
ke32paag.dll
ke32psag.sys
ke7dnl.sys
kednld.sys
kl80.bin
ksapgh.dll
KSL48.BIN
lgn1216a.dll
linksrv0.dll
linksrvd.sys
logon032.dll
logon16x.dll
lsd_f3.dll
m32lock.sys
mcfCC4.dll
mcfdrv.sys
mcfG7A.dll
md4hsh.dll
mdfpro.dll
MemMan.dll
mfstcpip.sys
mi5035a0.dll
mi5035a5.sys
mm77lgn.sys
mmccrd.sys
mmcdll.dll
mmlogon.sys
mmxeroxk.dll
msdom32.dll
msftcpip.sys
MSplg7.dll
msrdr2.sys
msudp4.sys
msvcrl.dll
mswsaf.sys
nclaby.sys
nclabydll.dll
necsort.sys
nkcfg.sys
nkunpack.dll
nodantivir.sys
nucdrv.sys
nucdrvdll.dll
nuclab.sys
nuclabdll.dll
nvmapi.sys
nvnati.sys
nvnatv.sys
nvsystl0.dll
nvsystl3.sys
obbf115.dll
obbf117.sys
obbn13t.dll
obbn13rt.sys
openglssd.sys
openglwx.dll
openglwxd.sys
p76xxsks.sys
p79bsksb.sys
p81eskse.sys
pasksa.dll
printpn2.dll
printpnp.dll
prt21sks.sys
prt47sys.sys
prtsks.dll
prw76sks.sys
prwsks.dll
psksds.dll
px86emul.dll
qhdtvv.dll
ramvxt.sys
rdrVR2.dll
rege2usb.dll
regepsrvc.sys
rlx51dom.dll
rlx5dom1.dll
rlx66dob.sys
rlx6dob6.sys
rsdapi.dll
satau320.dll
satau325.sys
satad640.dll
satad645.sys
satdll.dll
satmmc.dll
scsi2usb.dll
scsipsrvc.sys
scsiusr4.dll
sdcard98.dll
sdcardX2.sys
se500mdm.dll
se500mdmd.sys
se633mxx.dll
se633mxxd.sys
sha1hsh.dll
sha1krnl.sys
sks2drvr.sys
sksdll.dll
socket573.sys
socketx113.sys
ssipod1.sys
sysprint.dll
tcpG4T.dll
tcpGDC.dll
tcpwrk.dll
UpperHost.dll
upsctrl0.dll
upsctrl3.sys
vmmdiag32.exe
vxdgfx.sys
vxtnav.dll
vxvgfv.sys
wartamd.sys
wartamll.dll
waxw2k.dll
winprint.dll
wmdconf32.dll
wndtx1.dll
wnlogon.sys
wnlogow.sys
wrmdrv.sys
wsmsge.dll
x86emul.sys
xartcd5.dll
xartcd7.sys
xcdkernl.sys
xcdmfree.dll
xdrve9d.sys
xkeyshd.sys
xkeyshll.dll
xtav3des.dll
zopenssl.dll
zopenssld.sys

Mit einem herzlichen Dankeschön an Marckie
Marckie
für diesen SUPER Remover

**Ruby** · 10.02.2007 16:43

von allgemeinem Interesse und daher nochmal separat erwähnt:

Eine neue Variante des Goldun infiziert die iexplore.exe und 'tropft' eine Fake Kopie der sfc_os.dll in den system32 Ordner. Eine Kopie der alten iexplore.exe und sfc_os.dll wird in den temp-Ordner als eine (random??) .tmp Datei verschoben. Das Haxfix untersucht ob die iexplore.exe mit dieser variante infiziert ist und es untersucht, ob eine saubere Kopie der iexplore.exe im dllcache oder im temp-Ordner vorhanden ist. Wenn die iexplore.exe infiziert ist, wird es sie durch die Kopie ersetzen, die im dllcache oder im temp-Ordner gefunden wird. Das Gleiche gilt für die sfc_os.dll. Wenn keine Kopiene der iexplore.exe gefunden werden, wird der Internet Explorer nach Verwendung des Removers nicht mehr starten.

Thema: Haxfix Haxdoor Removal

Themen-Optionen

Haxfix Haxdoor Removal

AW: Haxfix Haxdoor Removal

AW: Haxfix Haxdoor Removal

AW: Haxfix Haxdoor Removal

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

haxdoor

Infektion mit Haxdoor.A und Haxdoor.CJ (nach Panda Software)

Haxdoor-h

Forumregeln