Ergebnis 1 bis 4 von 4

Thema: Haxfix Haxdoor Removal

  1. #1
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    Haxfix Haxdoor Removal

    Haxfix
    zur Entfernung der Backdoor.Haxdoor Family

    Übersetzung von Marckie's "Spyware"
    (Genehmigte Deutsche Übersetzung)

    Haxdoor-Varianten
    Hier folgt nun eine Besprechung einer Anzahl von Haxdoor-Varianten. Alle besprochenen Varianten können mit dem HaxFix entfernt werden.

    Haxdoor: ****32.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****32 - C:\WINDOWS\SYSTEM32\****32.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    avpe32
    O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
    TCPIP2 Kernel32: \??\C:\WINDOWS\System32\avpe64.sys (autostart)
    TCPIP2 Kernel: \??\C:\WINDOWS\System32\avpe64.sys (system)


    avpx32
    O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll

    avpi32
    O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll

    avpp32
    O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll

    avpu32
    O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

    fuxx32
    O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll

    cert32
    O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll

    tpcR32
    O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll

    axxt32
    O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll

    winm32
    O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
    winm TCP: \??\C:\WINDOWS\System32\winm32.sys (autostart)
    winm64 TCP: \??\C:\WINDOWS\System32\winm64.sys (system)[/size]

    snda32
    O20 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll

    sndu32
    O20 - Winlogon Notify: sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll

    lanH32
    O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
    LAN FW adapter: \??\C:\WINDOWS\System32\lanH64.sys (autostart)
    LAN MSFW adapter: \??\C:\WINDOWS\System32\lanH64.sys (system)


    twpR32
    O20 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll

    pptp32
    O20 - Winlogon Notify: pptp32 - C:\WINDOWS\SYSTEM32\pptp32.dll
    MMX2 virtualization service: \??\C:\WINDOWS\System32\pptp64.sys (autostart)
    MMX virtualization service: \??\C:\WINDOWS\System32\pptp64.sys (system)


    semd32
    O20 - Winlogon Notify: semd32 - C:\WINDOWS\SYSTEM32\semd32.dll
    SE 3.2 memory driver: \??\C:\WINDOWS\System32\semd64.sys (autostart)
    SE 3.0 memory driver: \??\C:\WINDOWS\System32\semd64.sys (system)


    mmxF32
    O20 - Winlogon Notify: mmxF32 - C:\WINDOWS\SYSTEM32\mmxF32.dll
    MMX2 virtualization service: \??\C:\WINDOWS\System32\mmxF64.sys (autostart)
    MMX virtualization service: \??\C:\WINDOWS\System32\mmxF64.sys (system)


    xmsk32
    O20 - Winlogon Notify: xmsk32 - C:\WINDOWS\SYSTEM32\xmsk32.dll

    regP32
    O20 - Winlogon Notify: regP32 - C:\WINDOWS\SYSTEM32\regP32.dll
    Registry protect service 2: \??\C:\WINDOWS\System32\regP32.sys (autostart)
    Registry protect service: \??\C:\WINDOWS\System32\regP64.sys (system)


    mmX432
    O20 - Winlogon Notify: mmx432 - C:\WINDOWS\SYSTEM32\mmx432.dll
    MMX Virtualization Service: \??\C:\WINDOWS\System32\mmx464.sys (autostart)
    MMX2 Virtualization Service: \??\C:\WINDOWS\System32\mmx464.sys (autostart)


    sslx32
    O20 - Winlogon Notify: sslx32 - C:\WINDOWS\SYSTEM32\sslx32.dll

    Haxdoor: ****16.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****16 - C:\WINDOWS\SYSTEM32\****16.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    xptp16
    O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
    XPPTP winsock version 2: \??\C:\WINDOWS\System32\xptp24.sys (autostart)
    XPPTP winsock: \??\C:\WINDOWS\System32\xptp24.sys (system)


    pptp16
    O20 - Winlogon Notify: pptp16 - C:\WINDOWS\SYSTEM32\pptp16.dll
    MMX2 virtualization service: \??\C:\WINDOWS\System32\pptp24.sys (autostart)
    MMX virtualization service: \??\C:\WINDOWS\System32\pptp24.sys (system)


    ppts16
    O20 - Winlogon Notify: ppts16 - C:\WINDOWS\SYSTEM32\ppts16.dll
    MMX2 emulation service: \??\C:\WINDOWS\System32\ppts24.sys (autostart)
    MMX emulation service: \??\C:\WINDOWS\System32\ppts24.sys (system)


    skyx16
    O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
    DVBa emulation service: \??\C:\WINDOWS\System32\skyx24.sys (autostart)
    DVB emulation service: \??\C:\WINDOWS\System32\skyx24.sys (system)


    skyu16
    O20 - Winlogon Notify: skyu16 - C:\WINDOWS\SYSTEM32\skyu16.dll
    DVB X11 controller¹: \??\C:\WINDOWS\System32\skyu24.sys (autostart)
    DVBa X11 controllerëDVB X11 controller¹: \??\C:\WINDOWS\System32\skyu24.sys (system)


    Haxdoor: ****xt.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****xt - C:\WINDOWS\SYSTEM32\****xt.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    mmx4xt
    O20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\mmx4xt.dll
    MMX virtualization service: \??\C:\WINDOWS\System32\mmx4xm.sys (system)
    MMX2 virtualization service: \??\C:\WINDOWS\System32\mmx4xm.sys (autostart)


    Haxdoor: ****tt.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****tt - C:\WINDOWS\SYSTEM32\****tt.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    xptptt
    O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
    XPPTP 0x24 winsock: \??\C:\WINDOWS\System32\xptpmm.sys (system)
    XPPTP 0x25 winsock: \??\C:\WINDOWS\System32\xptpmm.sys (autostart)


    xdudtt
    O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll
    XPPTP 0x24 winsock: \??\C:\WINDOWS\System32\xdudmm.sys (system)
    XPPTP 0x25 winsock: \??\C:\WINDOWS\System32\xdudmm.sys (autostart)


    Haxdoor: ****dx.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****dx - C:\WINDOWS\SYSTEM32\****dx.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    wxtwdx
    O20 - Winlogon Notify: wxtwdx - C:\WINDOWS\SYSTEM32\wxtwdx.dll
    wxtwdu PNP DRIVER: \??\C:\WINDOWS\System32\wxtwdu.sys (system)
    wxtw PNP DRIVER: \??\C:\WINDOWS\System32\wxtwdx.sys (autostart)


    dxtpdx
    O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll
    MMX virtualization service: \??\C:\WINDOWS\System32\dxtpdh.sys (system)
    MMX2 virtualization service: \??\C:\WINDOWS\System32\dxtpdx.sys (autostart)


    Haxdoor: ****01.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****01 - C:\WINDOWS\SYSTEM32\****01.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    yvpp01
    O20 - Winlogon Notify: yvpp01 - C:\WINDOWS\SYSTEM32\yvpp01.dll
    NDIS OSI32: \??\C:\WINDOWS\System32\yvpp01.sys (autostart)
    NDIS OSI: \??\C:\WINDOWS\System32\yvpp02.sys (system)


    yvbb01
    O20 - Winlogon Notify: yvbb01 - C:\WINDOWS\SYSTEM32\yvbb01.dll

    Haxdoor: ****ax.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****ax - C:\WINDOWS\SYSTEM32\****ax.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    vistax
    O20 - Winlogon Notify: vistax - C:\WINDOWS\SYSTEM32\vistax.dll
    SE 3.0 memory driver: \??\C:\WINDOWS\System32\vistaj.sys (system)
    SE 3.2 memory driver: \??\C:\WINDOWS\System32\vistaj.sys (autostart)


    Haxdoor: ****3a.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: xxxx3a - C:\WINDOWS\SYSTEM32\****3a.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    dvb03a
    O20 - Winlogon Notify: dvb03a - C:\WINDOWS\SYSTEM32\dvb03a.dll

    Haxdoor: ****gs.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****gs - C:\WINDOWS\SYSTEM32\****gs.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    sergtgs
    O20 - Winlogon Notify: sertgs - C:\WINDOWS\SYSTEM32\sertgs.dll
    TCPIP2 Kernel: \??\C:\WINDOWS\System32\sertgm.sys (system)
    TCPIP2 Kernel32: \??\C:\WINDOWS\System32\sertgm.sys (autostart)


    seppgs.dll
    O20 - Winlogon Notify: seppgs - C:\WINDOWS\SYSTEM32\seppgs.dll
    STK Bi 001: \??\C:\WINDOWS\System32\seppgm.sys (system)
    STK Bi 002: \??\C:\WINDOWS\System32\seppgm.sys (autostart)


    xcttgs.dl
    O20 - Winlogon Notify: xcttgs - C:\WINDOWS\SYSTEM32\xcttgs.dll
    STK Bi 001: \??\C:\WINDOWS\System32\xcttgm.sys (system)
    STK Bi 002: \??\C:\WINDOWS\System32\xcttgm.sys (autostart)


    Haxdoor: ****hh.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****hh - C:\WINDOWS\SYSTEM32\****hh.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    bmtdhh
    O20 - Winlogon Notify: bmtdhh - C:\WINDOWS\SYSTEM32\bmtdhh.dll
    DVB X11 controller: \??\C:\WINDOWS\System32\bmtdhk.sys (autostart)
    DVBa X11 controller: \??\C:\WINDOWS\System32\bmtdhk.sys (system)


    Haxdoor: lanmui.dll
    O20 - Winlogon Notify: lanmui - C:\WINDOWS\SYSTEM32\lanmui.dll
    LAN FW adapter: \??\C:\WINDOWS\System32\lannui.sys (autostart)
    LAN MSFW adapter: \??\C:\WINDOWS\System32\lannui.sys (system)


    Haxdoor twpkad.dll
    O20 - Winlogon Notify: twpkad - C:\WINDOWS\SYSTEM32\twpkad.dll
    UDP32 netbios mapping: \??\C:\WINDOWS\System32\twpkbd.sys (autostart)
    NETLINK mapping: \??\C:\WINDOWS\System32\twpkbd.sys (system)


    Haxdoor ****44.dll
    Alle Varianten dieses Typs:
    O20 - Winlogon Notify: ****44 - C:\WINDOWS\SYSTEM32\****44.dll
    die dieselbe Methode der Infektion anwenden.
    (**** steht anstelle des Haxdoor Schlüssels; es sind dies willkürlich gewählte Buchstaben.)


    Bekannte Varianten:
    winf44
    O20 - Winlogon Notify: winf44 - C:\WINDOWS\SYSTEM32\winf44.dll
    winm TCP: \??\C:\WINDOWS\System32\winf44.sys (autostart)
    winf49 TCP: \??\C:\WINDOWS\System32\winf49.sys (system)


    Haxdoor: debugg.dll
    O20 - Winlogon Notify: debugg - C:\WINDOWS\SYSTEM32\debugg.dll

    Haxdoor: yvsvga.dll
    O20 - Winlogon Notify: yvsvga - C:\WINDOWS\SYSTEM32\yvsvga.dll
    NDIS OSI: System32\ycsvga.sys (system)


    Haxdoor: xmm13g.dll
    O20 - Winlogon Notify: xmm13g - C:\WINDOWS\SYSTEM32\xmm13g.dll
    MMX virtualization service: \??\C:\WINDOWS\System32\mmx19g.sys (system)
    MMX2 virtualization service: \??\C:\WINDOWS\System32\mmx19g.sys (autostart)


    Haxdoor: mmx17g.dll
    O20 - Winlogon Notify: mmx17g - C:\WINDOWS\SYSTEM32\mmx17g.dll

    Haxdoor: yvprgb.dll
    O20 - Winlogon Notify: yvprgb - c:\windows\system32\yvprgb.dll
    YVPB video output: \??\C:\WINDOWS\system32\ycsrgb.sys (system)
    RGB video output: \??\C:\WINDOWS\system32\ycsrga.sys (autostart)


    Haxdoor: rxx5ot.dll
    O20 - Winlogon Notify: rxx5ot - C:\WINNT\SYSTEM32\rxx5ot.dll

    Haxdoor: ydsvgd.dll
    O20 - Winlogon Notify: ydsvgd - C:\WINDOWS\SYSTEM32\ydsvgd.dll

    Haxdoor: xopptp.dll
    O20 - Winlogon Notify: xopptp - C:\WINDOWS\SYSTEM32\xopptp.dll
    YVPB video output:\??\C:\WINDOWS\system32\xdpptp.sys (system)
    xopptp.dll
    xdpptp.sys
    xopptp.sys


    Haxdoor: yvdrgb.dll
    O20 - Winlogon Notify: yvdrgb - C:\WINDOWS\SYSTEM32\yvdrgb.dll
    YVPB video output: \??\C:\WINDOWS\System32\ycsrgb.sys (system)
    RGB video output: \??\C:\WINDOWS\System32\ycsrga.sys (autostart)
    yvdrgb.dll
    ycsrgb.sys


    Haxdoor: emul65.dll
    O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
    DCode emulator A37: \??\C:\WINDOWS\System32\emul37.sys (system)
    DCode emulator: \??\C:\WINDOWS\System32\emul65.sys (autostart)
    emul65.dll
    emul65.sys
    emul37.sys


    Haxdoor: wnmicf.dll
    O20 - Winlogon Notify: wnmicf - C:\WINDOWS\SYSTEM32\wnmicf.dll
    MClear Service: \??\C:\WINDOWS\System32\wnmicf.sys (autostart)
    FClear Service: \??\C:\WINDOWS\System32\wnmifc.sys (system)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnmicf
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnmifc
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot \minimal\wnmicf.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot \minimal\wnmifc.sys
    wnmicf.dll
    wnmicf.sys
    wnmifc.sys


    Haxdoor: rmk8ot.dll
    O20 - Winlogon Notify: rmk8ot - C:\WINDOWS\SYSTEM32\rmk8ot.dll
    MMX2 virtualization service: \??\C:\WINDOWS\System32\rmk9ot.sys (autostart)
    MMX virtualization service: \??\C:\WINDOWS\System32\rmk9ot.sys (system)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rmk8ot
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rmk9ot
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot \minimal\rmk8ot.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot \minimal\rmk9ot.sys
    rmk8ot.dll
    rmk8ot.sys
    rmk9ot.sys


    Haxdoor: svkvpn.dll
    O20 - Winlogon Notify: svkvpn - C:\WINDOWS\SYSTEM32\svkvpn.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\svkvpn
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\svjvpn.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\svjvpn.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svjvpn
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svkvpn
    MCRT accelerator: \??\C:\WINDOWS\System32\svjvpn.sys (system)
    DCRT acceleratorU‹ìè: \??\C:\WINDOWS\System32\svjvpm.sys (autostart)
    svkvpn.dll
    svjvpn.sys
    svkvpn.sys


    Haxdoor: utgrbe.dll
    O20 - Winlogon Notify: utgrbe - C:\WINDOWS\SYSTEM32\utgrbe.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\utgrbe
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\utgrbe.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\ufgrbe.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ufgrbe
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\utgrbe
    utgrbe.dll
    utgrbe.sys
    ufgrbe.sys


    Haxdoor: eetvpn.dll
    O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
    MCRT accelerator: \??\C:\WINDOWS\System32\eexvpn.sys (system)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\eetvpn
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\eetvpn.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\eexvpn.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eetvpn
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eexvpn
    eetvpn.dll
    eetvpn.sys
    eexvpn.sys


    Haxdoor: wsmsag.dll
    O20 - Winlogon Notify: wsmsag - C:\WINDOWS\SYSTEM32\wsmsag.dll
    RGB video output: \??\C:\WINDOWS\System32\mswsaf.sys (autostart)
    IPSTK driver: \??\C:\WINDOWS\System32\mswsag.sys (system)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wsmsag
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wsmsag
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mswsag
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\mswsag.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\mswsag.sys
    wsmsag.dll
    mswsag.sys
    wsmsag.sys


    Haxdoor: ovrscn.dll
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
    Memory SCN X1: \??\C:\WINDOWS\System32\ovrscn.sys (autostart)
    Memory SCN: \??\C:\WINDOWS\System32\ovwscn.sys (system)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ovrscn
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovrscn
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovwscn
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\ovrscn.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\ovrscn.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\ovwscn.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\ovwscn.sys
    ovrscn.dll
    ovrscn.sys
    ovwscn.sys


    Haxdoor: rgbopx.dll
    O20 - Winlogon Notify: rgbopx - C:\WINDOWS\SYSTEM32\rgbopx.dll
    YVPB video output: \??\C:\WINDOWS\system32\ycsrgb.sys
    RGB video output: \??\C:\WINDOWS\system32\ycsrga.sys
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rgbopx
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rgbopx
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ycsrgb
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\rgbopx.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\ycsrgb.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\rgbopx.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\ycsrgb.sys
    rgbopx.dll
    ycsrgb.sys
    ycsrga.sys


    Haxdoor: ewsmsg.dll
    O20 - Winlogon Notify: ewsmsg - C:\WINDOWS\SYSTEM32\ewsmsg.dll
    HDTV video output: \??\C:\WINDOWS\system32\gmswsa.sys (autostart)
    IPV6STK driver: \??\C:\WINDOWS\system32\gmswsa.sys (system)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewsmsg
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gmswsa
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Minimal\gmswsa.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot \Network\gmswsa.sys
    C:\WINDOWS\SYSTEM32\ewsmsg.dll
    C:\WINDOWS\SYSTEM32\ewsmsg.sys
    C:\WINDOWS\SYSTEM32\gmswsa.sys


    Wieder-Installationsprozesse:
    O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
    O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe
    O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
    C:\WINDOWS\userinit.exe
    C:\WINDOWS\kernel%32.exe


    HaxFix
    Alle hier beschriebenen Varianten und alle unbekannten Typen, die dieselbe Methode der Infektion anwenden, können mit dem HaxFix entfernt werden.

    Wie entfernt man das:
    Download haxfix.exe.
    Speichere sie auf deinem Desktop.
    Schliesse alle anderen Programme und schliesse alle offenen Fenster.
    Doppelklicke auf die haxfix.exe, um das Programm zu starten.
    Nun öffnet sich ein rotes DOS-Fensterchen mit folgendem Auswahl-Menu:
    1. Make logfile
    E. Exit Haxfix

    Option 1: Make logfile.
    Wähle die Option 1: Erstelle ein Logfile durch auf die 1 zu drücken.
    Das kann einen Moment dauern. Wenn HaxFix damit fertig ist, öffnet es eine Textdatei (haxlog.txt)
    Diese Option musst du zuerst gebrauchen. Es wird ein Logfile erstellt, dass dir alle möglichen Kandidaten anzeigt, die auf die Anwesenheit von einer der Haxdoorvarianten hinweisen können.

    Die Prüfung geschieht für:
    - die Datei ps.a3d (die einzige Datei bei allen Varianten, die nicht von dem Rootkit versteckt wird)
    - notify subkeys van het type ****16, ****32, ****xt, ****tt
    - services van het type ****16, ****24, ****32, ****64, ****xt, ****xm, ****tt, ****mm,..
    - safeboot services van het type ****16.sys, ****24.sys, ****32.sys, ****64.sys, ****xt.sys, ****xm.sys, ****tt.sys, ****mm.sys,...
    Dieses Logfile musst du zulassen, um die richtige Diagnose zu stellen, in Verbindung mit der Anwesenheit von einer oder mehreren Haxdoorvarianten.

    Starte das Haxfix auf deinem Desktop erneut, indem du auf das HaxFix Ikonchen klickst.
    Du erhältst nun ein Auswahl-Menü mit folgenden Optionen:
    1. Make logfile
    2. Run auto fix
    3. Run manual fix
    4. Run unknown fix
    E. Exit Haxfix

    Triff nun eine Auswahl zwischen Option 2 und Option 3

    Option 2: Lass das automatische Fix laufen.
    Schliesse alle anderen Anwendungen und Fenster, der Computer wird während des Gebrauchs vom HaxFix neu aufstarten.
    Gib die 2 ein und drücke auf ENTER, um die Option 2 "Run auto fix" zu starten.
    Folge den Anweisungen auf dem Schirm.
    Der Rechner wird nun neu aufstarten.
    Wenn das Haxfix fertig ist, öffnet es einen Textbestand (c:\haxfix.txt)

    Diese Option arbeitet weiter mit den gefundenen Notify Schlüsseln.
    Sie führt für jeden gefundenen Schlüssel eine Kontrolle auf die Anwesenheit eines Service oder eines Safebootservice aus.
    (Insgesamt wird auf 6 verschiedene Registrierungs Schlüssel geprüft)
    Wird einer der Services oder Safebootservices gefunden, startet der Fix.
    Wird kein übereinstimmender Service / Safebootservice gefunden, gibt es keinen Fix für den Notify Schlüssel, er wird negiert.
    Aus dem Logfile unter der Option 1 kannst du alle Information dazu abfragen.

    Option 3: lass das manuelle Fix laufen.
    Schliesse alle anderen Anwendungen und Fenster, der Computer wird während der Anwendung des HaxFix neu aufstarten.
    Gib die 3 ein und drücke auf ENTER, um die Option 3 "Run manual fix" zu starten.
    Wenn folgende Meldung kommt:
    Insert the haxdoorkey,
    and then press enter:
    Gib folgendes ein: <haxdoorkey **** (ohne die Nummern)>
    (beispielsweise: avpe, pptp, fuxx, snda, xptp ....)
    Drücke auf ENTER.
    Nun kommt folgender Bericht:
    Haxdoorkey **** added to delete.

    Do you want to add a new haxdoorkey?

    Press Y for YES or N for NO and then press Enter:

    ( übersetzt: Haxdoorkey **** zum löschen hinzugefügt.
    Möchtest du einen neuen Haxdoorschlüssel hinzufügen?
    Drücke Y für YES/ja oder N für NO/nein und drücke dann auf ENTER: )


    Wenn du noch einen Schlüssel hinzufügen willst:
    Drücke auf Y um YES/ja zu wählen.
    Wenn der Bericht kommt:
    Insert the haxdoorkey,
    and then press enter:
    Gib folgendes ein: <haxdoorkey **** (ohne die Nummern)>
    Drücke auf ENTER.
    Nun kommt folgender Bericht:

    Haxdoorkey **** added to delete.

    Do you want to add a new haxdoorkey?

    Press Y for YES or N for NO and then press Enter:
    .....

    Wenn du keinen Schlüssel mehr hinzufügen willst:
    Drücke auf N um NO/nein zu wählen.

    Folge den Anweisungen auf dem Bildschirm.
    Der Rechner wird neu aufstarten.
    Wenn das Haxfix fertig ist, öffnet es eine Textdatei (c:\haxfix.txt).

    Diese Option bietet die Möglichkeit um manuell einen Schlüssel hinzuzufügen.
    Wenn du einen Schlüssel hinzufügst, geschieht auch hier eine erste Prüfung auf die Anwesenheit eines Services / Safebootservices. Wenn nichts gefunden wird, wird auch kein Schlüssel hinzugefügt.
    Sie haben die Möglichkeit mehr als nur einen Schlüssel hinzuzufügen.
    Option 3 kannst du verwenden:
    - wenn kein Notify Schlüssel gefunden wird.
    - wenn legitime Einträge im Logfile stehen, die nicht entfernt werden dürfen.

    Information zum Entfernen der Goldun Varianten findest du ->hier.

    Option 4: Lass den unbekannten Fix laufen.

    Ab der Version 4.43 ist catchme.exe im Haxfix integriert. (Ein Dankeschön an Gmer.)
    Das Logfile von catchme wird vom Haxfix auf Haxdoor- und Goldunvarianten geprüft, die den Notifykey und die Services verwenden.
    Unbekannte Haxdoor- und Goldunvarianten, die auf diese Weise gefunden werden, können mit der Option 4 entfernt werden.

    E. Exit Haxfix
    Diese Option beendet das HaxFix.

    Sei vorsichtig, denn es können immer legitime Einträge in dem Logfile gezeigt werden, das du mit der Option 1 erstellst.
    Wenn es einen Schlüssel Typ auf dem Rechner gibt und ein laufender Service gefunden wird (ein einziger Service reicht bereits aus), dann wird dieser Schlüssel bei der Verwendung von HaxFix gelöscht.

    Pass auf, ob du diese Meldung im Logfile findest, die du bei Anwendung von Option 2 und Option 3 bekommen kannst:
    "registrysettings failed".
    Wenn du diese Meldung bekommst, musst du diesen Befehl eingeben: %systemdrive%\haxfix.exe /reset

    Wenn das HaxFix den Rechner neu aufstartet, und sich nach dem neuaufstarten kein Scanbericht öffnet, klicke auf START > Ausführen und tippe/kopiere hier folgenden Befehl in die Schreibspalte ein: %systemdrive%\haxfix.exe /after

    Experimentiere NICHT mit diesem Programm!
    Geändert von Ruby (22.10.2007 um 05:44 Uhr) Grund: Komplett geupdatet

  2. #2
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Haxfix Haxdoor Removal

    Ergänzung zur Verdeutlichung:

    als haxdoorkey (übersetzt: Haxdoorschlüssel)
    bezeichnet man die, im jeweiligen Logfile auftretenden, Buchstaben,
    die man ohne die Zahl und ohne die Endung eingibt.

    <haxdoorkey **** (ohne die Nummern)>
    als haxdoorkey -> gibst du den Schlüssel des Haxdoor von deinem System ein (Beispiele):

    C:\WINDOWS\SYSTEM32\avpe32.dll -> <haxdoorkey **** (ohne die Nummern)> : avpe
    C:\WINDOWS\SYSTEM32\avpx32.dll -> <haxdoorkey **** (ohne die Nummern)> : avpx
    C:\WINDOWS\SYSTEM32\avpi32.dll -> <haxdoorkey **** (ohne die Nummern)> : avpi
    C:\WINDOWS\SYSTEM32\fuxx32.dll -> <haxdoorkey **** (ohne die Nummern)> : fuxx
    C:\WINDOWS\SYSTEM32\cert32.dll -> <haxdoorkey **** (ohne die Nummern)> : cert
    C:\WINDOWS\SYSTEM32\tcpR32.dll -> <haxdoorkey **** (ohne die Nummern)> : tcpR
    C:\WINDOWS\SYSTEM32\axxt32.dll -> <haxdoorkey **** (ohne die Nummern)> : axxt
    C:\WINDOWS\SYSTEM32\winm32.dll -> <haxdoorkey **** (ohne die Nummern)> : winm
    C:\WINDOWS\SYSTEM32\snda32.dll -> <haxdoorkey **** (ohne die Nummern)> : snda
    C:\WINDOWS\SYSTEM32\sndu32.dll -> <haxdoorkey **** (ohne die Nummern)> : sndu
    C:\WINDOWS\SYSTEM32\lanH32.dll -> <haxdoorkey **** (ohne die Nummern)> : lanH
    C:\WINDOWS\SYSTEM32\twpR32.dll -> <haxdoorkey **** (ohne die Nummern)> : twpR
    C:\WINDOWS\SYSTEM32\pptp32.dll -> <haxdoorkey **** (ohne die Nummern)> : pptp
    C:\WINDOWS\SYSTEM32\semd32.dll -> <haxdoorkey **** (ohne die Nummern)> : semd
    C:\WINDOWS\SYSTEM32\mmxF32.dll -> <haxdoorkey **** (ohne die Nummern)> : mmxF

    C:\WINDOWS\SYSTEM32\xptp16.dll -> <haxdoorkey **** (ohne die Nummern)> : xptp
    C:\WINDOWS\SYSTEM32\pptp16.dll -> <haxdoorkey **** (ohne die Nummern)> : pptp
    C:\WINDOWS\SYSTEM32\skyx16.dll -> <haxdoorkey **** (ohne die Nummern)> : skyx


    Bitte den betreffenden Haxdoorschlüssel (haxdoorkey)
    bei den Optionen 1 und 3
    dann eingeben, wenn das Programm danach fragt
    .

    Bitte jeden anderen logfilespezifischen Haxdoorschlüssel (haxdoorkey) analog eingeben.
    Geändert von Ruby (02.08.2006 um 08:20 Uhr) Grund: Update

  3. #3
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Haxfix Haxdoor Removal

    Goldun

    Downloadlink HaxFix: http://users.telenet.be/marcvn/tools/haxfix.exe
    Spiegel: http://download.bleepingcomputer.com/marckie/haxfix.exe
    Wie verwendet man das HaxFix:
    Mach einen Doppelklick auf die haxfix.exe um das Programm laufen zu lassen.
    Ein rotes "dos window" (DOS BOX) wird sich nun mit folgenden Optionen öffnen:
    1. Make logfile
    E. Exit Haxfix

    Wähle die Option "1. Make logfile" indem du die 1 eingibst, drücke dann auf ENTER.
    Haxfix wird deinen Rechner nun scannen. Wenn es fertig ist, öffnet sich der Scanbericht (c:\HaxFix\haxlog.txt).

    Wenn die Option 1 durchgelaufen ist, wirst du ein neues Menü mit allen Optionen erhalten:
    1. Make logfile
    2. Run auto fix
    3. Run manual fix
    4. Run unknow fix
    E. Exit Haxfix

    Wenn eine Goldun-Infektion gefunden wurde, setze bitte den Entfernungsprozess fort.
    Schließe alle anderen Anwendungen und Fenster, denn dieser Schritt erfordert ein Neuaufstarten des Rechners.
    Wähle Option "2. Run auto fix" indem du die 2 eingibst, drücke dnn auf Enter.
    Wenn eine Infektion vorgefunden wird, erhältst du eine Mitteilung alle anderen offenen Fenster zu schließen.
    Schließe alle offenen Fenster außer dem roten DOS Fenster vom HaxFix und drücke dann auf Enter.
    Der Rechner wird neuaufstarten.
    Nach den neuaufstarten öffnet sich der Scanbericht (c:\haxfix.txt).

    Achtung:
    Wenn du diese Mitteilung im Scanbericht siehst: registrysettings failed
    verwende bitte diesen Befehl: %systemdrive%\haxfix.exe /reset

    Wenn du nach dem neuaufstarten keinen Scanbericht bekommst, verwende folgenden Befehl:
    %systemdrive%\haxfix.exe /after

    Einige neue Varianten des Goldun infizieren die iexplore.exe und 'tropfen' eine Fake Kopie der sfc_os.dll in den system32 Ordner. Eine Kopie der alten iexplore.exe und sfc_os.dll wird in den temp-Ordner als eine (random??) .tmp Datei verschoben.

    Das Haxfix untersucht ob die iexplore.exe mit dieser Variante infiziert ist und es untersucht, ob eine saubere Kopie der iexplore.exe im dllcache oder im temp-Ordner vorhanden ist.
    Wenn die iexplore.exe infiziert ist, wird es sie durch die Kopie ersetzen, die im
    dllcache oder im temp-Ordner gefunden wird. Das Gleiche gilt für die sfc_os.dll. Wenn keine Kopiene der iexplore.exe gefunden werden, wird der Internet Explorer nach Verwendung des Removers nicht mehr starten.

    Andere Optionen des HaxFix:
    Mehr Information zu den Haxdoor Varianten kannst du hier nachlesen.

    HaxFix kann folgende Varianten von Goldun - Haxspy entfernen:

    Notify keys::

    O20 - Winlogon Notify: aeskap - C:\WINDOWS\SYSTEM32\aeskap.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\aeskap

    O20 - Winlogon Notify: agpbrdg0 - C:\WINDOWS\SYSTEM32\agpbrdg0.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\agpbrdg0

    O20 - Winlogon Notify: arprmdg0 - C:\WINDOWS\SYSTEM32\arprmdg0.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arprmdg0

    O20 - Winlogon Notify: asusrx20 - C:\WINDOWS\SYSTEM32\asusrx20.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\asusrx20

    O20 - Winlogon Notify: ati2kaag - C:\WINDOWS\SYSTEM32\ati2kaag.dll
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ati2kaag

    O20 - Winlogon Notify: ati2krtg - C:\WINDOWS\SYSTEM32\ati2krtg.dll
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ati2krtg

    O20 - Winlogon Notify: ati2paag - C:\WINDOWS\SYSTEM32\ati2paag.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ati2paag

    O20 - Winlogon Notify: atiddaxx - C:\WINDOWS\SYSTEM32\atiddaxx.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atiddaxx

    O20 - Winlogon Notify: atietaxx - C:\WINDOWS\SYSTEM32\atietaxx.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atietaxx

    O20 - Winlogon Notify: atixdaxx - C:\WINDOWS\SYSTEM32\atixdaxx.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atixdaxx

    O20 - Winlogon Notify: atixdbxx - C:\WINDOWS\SYSTEM32\atixdbxx.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\atixdbxx

    O20 - Winlogon Notify: avload32 - C:\WINDOWS\SYSTEM32\avload32.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avload32

    O20 - Winlogon Notify: axdebugl - C:\WINDOWS\SYSTEM32\axdebugl.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\axdebugl

    O20 - Winlogon Notify: bootrom8 - C:\WINDOWS\SYSTEM32\bootrom8.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bootrom8

    O20 - Winlogon Notify: bt848rom - C:\WINDOWS\SYSTEM32\bt848rom.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bt848rom

    O20 - Winlogon Notify: cdscsix3 - C:\WINDOWS\SYSTEM32\cdscsix3.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cdscsix3

    O20 - Winlogon Notify: ddirectz - C:\WINDOWS\SYSTEM32\ddirectz.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddirectz

    O20 - Winlogon Notify: directpt - C:\WINDOWS\SYSTEM32\directpt.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\directpt

    O20 - Winlogon Notify: directut - C:\WINDOWS\SYSTEM32\directut.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\directut

    O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\docent0

    O20 - Winlogon Notify: docent2 - C:\WINDOWS\SYSTEM32\docent2.dll
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\docent2

    O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dvd4free

    O20 - Winlogon Notify: emldvc - C:\WINDOWS\SYSTEM32\emldvc.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\emldvc

    O20 - Winlogon Notify: extxerox - c:\WINDOWS\SYSTEM32\extxerox.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\extxerox

    O20 - Winlogon Notify: extfpu - C:\WINDOWS\SYSTEM32\extfpu.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\extfpu

    O20 - Winlogon Notify: fanxctrl - C:\WINDOWS\SYSTEM32\fanxctrl.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fanxctrl

    O20 - Winlogon Notify: flashdma - C:\WINDOWS\SYSTEM32\flashdma.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\flashdma

    O20 - Winlogon Notify: gatwxkey - C:\WINDOWS\SYSTEM32\gatwxkey.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gatwxkey

    O20 - Winlogon Notify: f3dsl - C:\WINDOWS\SYSTEM32\lsd_f3.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\f3dsl

    O20 - Winlogon Notify: F8adsl - C:\WINDOWS\SYSTEM32\MSplg7.dll
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\F8adsl

    O20 - Winlogon Notify: flashdrvr - C:\WINDOWS\SYSTEM32\flashdrvr.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\flashdrvr

    O20 - Winlogon Notify: gatexkey - C:\WINDOWS\SYSTEM32\gatexkey.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gatexkey

    O20 - Winlogon Notify: gdiwxp - C:\WINDOWS\SYSTEM32\gdiwxp.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gdiwxp

    O20 - Winlogon Notify: gdwxp3 - C:\WINDOWS\System32\gdwxp3.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gdwxp3

    O20 - Winlogon Notify: hpprintx - C:\WINDOWS\SYSTEM32\hpprintx.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hpprintx

    O20 - Winlogon Notify: ideusr50 - C:\WINDOWS\SYSTEM32\ideusr50.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ideusr50

    O20 - Winlogon Notify: ies4dll - C:\WINDOWS\SYSTEM32\ies4dll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ies4dll

    O20 - Winlogon Notify: iesdl4l - C:\WINDOWS\SYSTEM32\iesdl4l.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iesdl4l

    O20 - Winlogon Notify: isodvrtg - C:\WINDOWS\SYSTEM32\isodvrtg.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\isodvrtg

    O20 - Winlogon Notify: ke32paag - C:\WINDOWS\SYSTEM32\ke32paag.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ke32paag

    O20 - Winlogon Notify: ksapgh - C:\WINDOWS\SYSTEM32\ksapgh.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersi on\Winlogon\Notify\ksapgh

    O20 - Winlogon Notify: lgn1216a - C:\WINDOWS\SYSTEM32\lgn1216a.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lgn1216a

    O20 - Winlogon Notify: linksrv0 - C:\WINDOWS\SYSTEM32\linksrv0.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\linksrv0

    O20 - Winlogon Notify: logon032 - C:\WINDOWS\SYSTEM32\logon032.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logon032

    O20 - Winlogon Notify: logon16x - C:\WINDOWS\SYSTEM32\logon16x.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logon16x

    O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\SYSTEM32\mcfCC4.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4

    O20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfG7A

    O20 - Winlogon Notify: md4hsh - C:\WINDOWS\SYSTEM32\md4hsh.dll
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\md4hsh

    O20 - Winlogon Notify: mdfpro - C:\WINDOWS\SYSTEM32\mdfpro.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mdfpro

    O20 - Winlogon Notify: mi5035a0 - C:\WINDOWS\SYSTEM32\mi5035a0.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mi5035a0

    O20 - Winlogon Notify: mmcdll - C:\WINDOWS\SYSTEM32\mmcdll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mmcdll

    O20 - Winlogon Notify: mmxeroxk - C:\WINDOWS\SYSTEM32\mmxeroxk.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mmxeroxk

    O20 - Winlogon Notify: nclabydll - C:\WINDOWS\SYSTEM32\nclabydll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nclabydll

    O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nkunpack

    O20 - Winlogon Notify: nucdrvdll - C:\WINDOWS\SYSTEM32\nucdrvdll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nucdrvdll

    O20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32\nuclabdll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nuclabdll

    O20 - Winlogon Notify: nvsystl0 - C:\WINDOWS\SYSTEM32\nvsystl0.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nvsystl0

    O20 - Winlogon Notify: obbf115 - C:\WINDOWS\SYSTEM32\obbf115.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\obbf115

    O20 - Winlogon Notify: obbn13t - C:\WINDOWS\SYSTEM32\obbn13t.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\obbn13t

    O20 - Winlogon Notify: openglss - C:\WINDOWS\SYSTEM32\openglss.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\openglss

    O20 - Winlogon Notify: openglwx - C:\WINDOWS\SYSTEM32\openglwx.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\openglwx

    O20 - Winlogon Notify: pasksa - C:\WINDOWS\SYSTEM32\pasksa.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pasksa

    O20 - Winlogon Notify: printpnp - C:\WINDOWS\SYSTEM32\printpnp.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\printpnp

    O20 - Winlogon Notify: printpn2 - C:\WINDOWS\SYSTEM32\printpn2.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\printpn2

    O20 - Winlogon Notify: prtsks - C:\WINDOWS\SYSTEM32\prtsks.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\prtsks

    O20 - Winlogon Notify: prwsks - C:\WINDOWS\SYSTEM32\prwsks.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\prwsks
    O20 - Winlogon Notify: psksds - C:\WINDOWS\SYSTEM32\psksds.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psksds

    O20 - Winlogon Notify: px86emul - C:\WINDOWS\SYSTEM32\px86emul.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\px86emul

    O20 - Winlogon Notify: qhdtvv - C:\WINDOWS\SYSTEM32\qhdtvv.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qhdtvv

    O20 - Winlogon Notify: rdrVR2 - C:\WINDOWS\SYSTEM32\rdrVR2.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rdrVR2

    O20 - Winlogon Notify: rege2usb - C:\WINDOWS\SYSTEM32\rege2usb.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rege2usb

    O20 - Winlogon Notify: rlx51dom - C:\WINDOWS\SYSTEM32\rlx51dom.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersi on\Winlogon\Notify\rlx51dom

    O20 - Winlogon Notify: rlx5dom1 - C:\WINDOWS\SYSTEM32\rlx5dom1.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rlx5dom1

    O20 - Winlogon Notify: rsdapi - C:\WINDOWS\System32\rsdapi.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rsdapi

    O20 - Winlogon Notify: satad640 - C:\WINDOWS\SYSTEM32\satad640.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\satad640

    O20 - Winlogon Notify: satau320 - C:\WINDOWS\SYSTEM32\satau320.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\satau320

    O20 - Winlogon Notify: satdll - C:\WINDOWS\SYSTEM32\satdll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\satdll

    O20 - Winlogon Notify: satmmc - C:\WINDOWS\SYSTEM32\satmmc.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\satmmc

    O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsi2usb

    O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\SYSTEM32\scsiusr4.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4

    O20 - Winlogon Notify: sdcard98 - C:\WINDOWS\SYSTEM32\sdcard98.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sdcard98

    O20 - Winlogon Notify: se500mdm - C:\WINDOWS\SYSTEM32\se500mdm.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\se500mdm

    O20 - Winlogon Notify: se633mxx - C:\WINDOWS\SYSTEM32\se633mxx.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\se633mxx

    O20 - Winlogon Notify: sha1hsh - C:\WINDOWS\SYSTEM32\sha1hsh.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sha1hsh

    O20 - Winlogon Notify: sksdll - C:\WINDOWS\SYSTEM32\sksdll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sksdll

    O20 - Winlogon Notify: sysprint - C:\WINDOWS\SYSTEM32\sysprint.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysprint

    O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpG4T

    O20 - Winlogon Notify: tcpGDC - C:\WINDOWS\SYSTEM32\tcpGDC.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpGDC

    O20 - Winlogon Notify: tcpwrk - C:\\WINDOWS\SYSTEM32\tcpwrk.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpwrk

    O20 - Winlogon Notify: upsctrl0 - C:\WINDOWS\SYSTEM32\upsctrl0.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\upsctrl0

    O20 - Winlogon Notify: vxtnav - C:\WINDOWS\SYSTEM32\vxtnav.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vxtnav

    O20 - Winlogon Notify: wartamll - C:\WINDOWS\SYSTEM32\wartamll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersi on\Winlogon\Notify\wartamll

    O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\waxw2k

    O20 - Winlogon Notify: winprint - C:\WINDOWS\SYSTEM32\winprint.dll
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprint

    O20 - Winlogon Notify: wndtx1 - C:\WINDOWS\SYSTEM32\wndtx1.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wndtx1

    O20 - Winlogon Notify: wsmsge - C:\WINDOWS\SYSTEM32\wsmsge.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wsmsge

    O20 - Winlogon Notify: xartcd5 - C:\WINDOWS\SYSTEM32\xartcd5.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xartcd5

    O20 - Winlogon Notify: xcdmfree - C:\WINDOWS\SYSTEM32\xcdmfree.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xcdmfree

    O20 - Winlogon Notify: xkeyshll - C:\WINDOWS\SYSTEM32\xkeyshll.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xkeyshll

    O20 - Winlogon Notify: xtav3des - C:\WINDOWS\SYSTEM32\xtav3des.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xtav3des

    O20 - Winlogon Notify: zopenssl - C:\WINDOWS\SYSTEM32\zopenssl.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Zopenssl


    Services:


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agpbrdg 5

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\armdvc
    ARM TSL device: \??\C:\WINDOWS\System32\armdvc.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\armrfc
    ARM FDCG850 device: \??\C:\WINDOWS\System32\armrfc.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\arprmdg 5

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asusrx2 5

    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\ati2ksa g
    Object memory mapping 8.0: \??\C:\WINDOWS\System32\ati2ksag.sys (system)

    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\ati2kst g
    Object memory mapping 8.0 : \??\C:\WINDOWS\System32\ati2kstg.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati2psa g
    Object memory mapping 8.0: \??\C:\WINDOWS\System32\ati2psag.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atiddbx x
    ATI TnL Rendering: \??\C:\WINDOWS\System32\atiddbxx.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atietbx x

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atixdbx x
    ATI Hardware TnL Rendering: \??\C:\WINDOWS\System32\atixdbxx.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axdebug ld
    OPENSSL cryptoapi: \??\C:\WINDOWS\System32\axdebugld.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdscsix 3r
    CDRW overrun protection: \??\C:\WINDOWS\System32\cdscsix3r.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpudev
    CPU microcode correction: \??\C:\WINDOWS\System32\cpudev.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CsdDriv er
    CsdDriver \??\C:\WINDOWS\System32\CsdDriver.sys (manual start)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ddirect xt
    INPUT/OUTPUT printing: \??\C:\WINDOWS\System32\ddirectxt.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\directp rt
    IO Direct printing service: \??\C:\WINDOWS\System32\directprt.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\directo ut

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\docentd

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkern l

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eps32sy s

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\epsn2sy s
    EPS Printer driver: \??\C:\WINDOWS\System32\epsn2sys.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\epsonsy s
    EPS Printer driver: \??\C:\WINDOWS\System32\epsonsys.sys (system)

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\estsprt

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fanxctr ld

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashdr v3

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashsm t
    Rege memory mapper \??\C:\WINDOWS\System32\flashsmt.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpuext

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gdiw2k

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gdow2k

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpprint drv
    HP32X Printer driver: \??\C:\WINDOWS\System32\hpprintdrv.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idersrv c

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ies4ser vice

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iesserv ice4
    LOGON support service: \??\C:\WINDOWS\System32\iesservice4.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iesprt

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipudpb2
    IP2 UDPB2: \??\C:\WINDOWS\System32\ipudpb2.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\isodvst g
    Object memory mapping 8.0: \??\C:\WINDOWS\System32\isodvstg.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\k53lock
    VMemory protect: \??\C:\WINDOWS\System32\k53lock.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ke32psa g

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ke7dnl
    AVXSearch service: \??\C:\WINDOWS\System32\ke7dnl.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kednld
    MCAfee update srvc: \??\C:\WINDOWS\System32\kednld.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\linksrv d

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m32lock

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcfdrv
    MCFservice: \??\C:\WINDOWS\System32\mcfdrv.sys

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mfstcpi p

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mi5035a 5
    ASUS PCI controller: \??\C:\WINDOWS\System32\mi5035a5.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mm77lgn
    mm77lgn control service: \??\C:\WINDOWS\System32\mm77lgn.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmccrd
    MMC card reader: \??\C:\WINDOWS\System32\mmccrd.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmlogon

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msftcpi p

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msrdr2
    IP correction service: \??\C:\WINDOWS\System32\msrdr2.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msudp4

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mswsaf
    HDTV video output: \??\C:\WINDOWS\System32\mswsaf.sys (autostart)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nclaby
    NOD AV service: \??\C:\WINDOWS\System32\nclaby.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\necsort
    Kernel TCP Filtering protocol: \??\C:\WINDOWS\System32\necsort.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nkgfs
    NK45 file system driver: \??\C:\WINDOWS\System32\nkcfg.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nodanti vir
    NOD AV service: \??\C:\WINDOWS\System32\nodantivir.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nucdrv

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nuclab

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvmapi
    NVidia TLayer gateway A2;\??\C:\WINDOWS\System32\nvmapi.sys

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvnati
    NVidia XTLayer gateway : \??\C:\WINDOWS\System32\nvnati.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvnatv
    Nvdia Native Rendering : \??\C:\WINDOWS\System32\nvnatv.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvsystl 3
    PPA Virtial rendering: \??\C:\WINDOWS\System32\nvsystl3.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obbf117
    Kernel Objects Manager: \??\C:\WINDOWS\System32\obbf117.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obbn13r t
    Windows Objects manager: \??\C:\WINDOWS\System32\obbn13rt.sys (system)

    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\opengls sd

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\openglw xd
    OPENGL technology access: \??\C:\WINDOWS\System32\openglwxd.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p76xxsk s
    USB p76xxsks: \??\C:\WINDOWS\System32\p76xxsks.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p79bsks b
    USB p79bsksb: \??\C:\WINDOWS\System32\p79bsksb.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\p81eskse
    FWSHIFT service \??\C:\WINDOWS\System32\p81eskse.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prt21sk s

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prt47sy s
    PRT4701 Printer driver \??\C:\WINDOWS\System32\prt47sys.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prw76sk s
    USB prw76sks: \??\C:\WINDOWS\System32\prw76sks.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ramvxt

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\regepsr vc

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66do b

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx6dob 6

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\satad64 5

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\satau32 5
    SATA bus driver: \??\C:\WINDOWS\System32\satau325.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsr vc

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdcardX 2
    KMX direct access: \??\C:\WINDOWS\System32\sdcardX2.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\se500md md
    SE500 Generic: \??\C:\WINDOWS\System32\se500mdmd.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\se633mx xd
    IRDa Modem device #12: \??\C:\WINDOWS\system32\se633mxxd.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sha1krn l
    Kernel CryptoService: \??\C:\WINDOWS\System32\sha1krnl.sys (system)

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sks2drv r

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\socket5 73

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\socketx 113

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssipod1
    IPODT1000: \??\C:\WINDOWS\System32\ssipod1.sys (system)

    UPS COMcontrol: \??\C:\WINDOWS\system32\upsctrl3.sys (system)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\upsctrl 3

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vxdgfx

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vxvgfv
    VXV CPU device: \??\C:\WINDOWS\System32\vxvgfv.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wartamd
    SECURE SHELL access driver: \??\C:\WINDOWS\System32\wartamd.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnlogon
    UDP packet correction: \??\C:\WINDOWS\System32\wnlogon.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnlogow

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wrmdrv
    WRM CPU driver: \??\C:\WINDOWS\System32\wrmdrv.sys

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\x86emul
    FPU emulation service: \??\C\:WINDOWS\system32\x86emul.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xartcd7
    Kernel Objects Manager: \??\C:\WINDOWS\system32\xartcd7.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xcdkern l

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xdrve9d
    IPv6 BT converter: \??\C:\WINDOWS\System32\xdrve9d.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xkeyshd
    SECURE SHELL access driver: \??\C:\WINDOWS\System32\xkeyshd.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zopenss ld
    OPENGL technology access: \??\C:\WINDOWS\System32\zopenssld.sys (system)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zopenss ld
    OPENSSL cryptoapi: \??\C:\WINDOWS\System32\zopenssld.sys (system)


    ShellServiceObjectDelayLoad:


    These keys are hidden by the rootkit.
    O21 - SSODL: MemMan - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\System32\MemMan.dll
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad]
    "MemMan"="{523455E4-ABCD-ABCD-1114-D709ADD3DDAB}"

    O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\System32\UpperHost.dll
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad]
    "UpperHost"="{523455E4-ABCD-ABCD-1114-D709ADD3DDAB}"


    Patched iexplore.exe:


    msdom32.dll
    msvcrl.dll


    Andere Anzeichen einer Infektion:


    F2 - REG:system.ini: Shell=explorer.exe vmmdiag32.exe
    O4 - HKCU\..\Run: [kernel%32.exe] C:\WINDOWS\kernel%32.exe
    O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
    O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
    O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe


    Dateien:


    Windows Ordner:
    kernel%32.exe
    userinit.exe

    System32 Ordner:
    aeskap.dll
    agpbrdg0.dll
    agpbrdg5.sys
    armdvc.sys
    armrfc.sys
    arprmdg0.dll
    arprmdg5.sys
    asusrx20.dll
    asusrx25.sys
    ati2kaag.dll
    ati2krtg.dll
    ati2ksag.sys
    ati2kstg.sys
    ati2paag.dll
    ati2psag.sys
    atiddaxx.dll
    atiddbxx.sys
    atietaxx.dll
    atietbxx.sys
    atixdaxx.dll
    atixdbxx.dll
    atixdbxx.sys
    avload32.dll
    axdebugl.dll
    axdebugld.sys
    bootrom8.dll
    bt848rom.dll
    cdscsix3.dll
    cdscsix3r.sys
    cpudev.sys
    CsdDriver.sys
    ddirectxt.sys
    ddirectz.dll
    directout.sys
    directprt.sys
    directpt.dll
    directut.dll
    docent0.dll
    docent2.dll
    docentd.sys
    dvd4free.dll
    dvdkernl.sys
    emldvc.dll
    eps32sys.sys
    epsn2sys.sys
    epsonsys.sys
    estsprt.sys
    extxerox.dll
    extfpu.dll
    fanxctrl.dll
    fanxctrld.sys
    flashdma.dll
    flashdrv3.sys
    flashdrvr.dll
    flashsmt.sys
    fpuext.sys
    gatexkey.dll
    gatwxkey.dll
    gdiw2k.sys
    gdiwxp.dll
    gdow2k.sys
    gdwxp3.dll
    hpprintdrv.sys
    hpprintx.dll
    hrpdcf.bin
    idersrvc.sys
    ideusr50.dll
    ies4dll.dll
    ies4service.sys
    iesdl4l.dll
    iesservice4.sys
    iesprt.sys
    ipudpb2.sys
    isodvrtg.dll
    isodvstg.sys
    k53lock.sys
    ke32paag.dll
    ke32psag.sys
    ke7dnl.sys
    kednld.sys
    kl80.bin
    ksapgh.dll
    KSL48.BIN
    lgn1216a.dll
    linksrv0.dll
    linksrvd.sys
    logon032.dll
    logon16x.dll
    lsd_f3.dll
    m32lock.sys
    mcfCC4.dll
    mcfdrv.sys
    mcfG7A.dll
    md4hsh.dll
    mdfpro.dll
    MemMan.dll
    mfstcpip.sys
    mi5035a0.dll
    mi5035a5.sys
    mm77lgn.sys
    mmccrd.sys
    mmcdll.dll
    mmlogon.sys
    mmxeroxk.dll
    msdom32.dll
    msftcpip.sys
    MSplg7.dll
    msrdr2.sys
    msudp4.sys
    msvcrl.dll
    mswsaf.sys
    nclaby.sys
    nclabydll.dll
    necsort.sys
    nkcfg.sys
    nkunpack.dll
    nodantivir.sys
    nucdrv.sys
    nucdrvdll.dll
    nuclab.sys
    nuclabdll.dll
    nvmapi.sys
    nvnati.sys
    nvnatv.sys
    nvsystl0.dll
    nvsystl3.sys
    obbf115.dll
    obbf117.sys
    obbn13t.dll
    obbn13rt.sys
    openglssd.sys
    openglwx.dll
    openglwxd.sys
    p76xxsks.sys
    p79bsksb.sys
    p81eskse.sys
    pasksa.dll
    printpn2.dll
    printpnp.dll
    prt21sks.sys
    prt47sys.sys
    prtsks.dll
    prw76sks.sys
    prwsks.dll
    psksds.dll
    px86emul.dll
    qhdtvv.dll
    ramvxt.sys
    rdrVR2.dll
    rege2usb.dll
    regepsrvc.sys
    rlx51dom.dll
    rlx5dom1.dll
    rlx66dob.sys
    rlx6dob6.sys
    rsdapi.dll
    satau320.dll
    satau325.sys
    satad640.dll
    satad645.sys
    satdll.dll
    satmmc.dll
    scsi2usb.dll
    scsipsrvc.sys
    scsiusr4.dll
    sdcard98.dll
    sdcardX2.sys
    se500mdm.dll
    se500mdmd.sys
    se633mxx.dll
    se633mxxd.sys
    sha1hsh.dll
    sha1krnl.sys
    sks2drvr.sys
    sksdll.dll
    socket573.sys
    socketx113.sys
    ssipod1.sys
    sysprint.dll
    tcpG4T.dll
    tcpGDC.dll
    tcpwrk.dll
    UpperHost.dll
    upsctrl0.dll
    upsctrl3.sys
    vmmdiag32.exe
    vxdgfx.sys
    vxtnav.dll
    vxvgfv.sys
    wartamd.sys
    wartamll.dll
    waxw2k.dll
    winprint.dll
    wmdconf32.dll
    wndtx1.dll
    wnlogon.sys
    wnlogow.sys
    wrmdrv.sys
    wsmsge.dll
    x86emul.sys
    xartcd5.dll
    xartcd7.sys
    xcdkernl.sys
    xcdmfree.dll
    xdrve9d.sys
    xkeyshd.sys
    xkeyshll.dll
    xtav3des.dll
    zopenssl.dll
    zopenssld.sys


    Mit einem herzlichen Dankeschön an Marckie
    Marckie
    für diesen SUPER Remover
    Geändert von Ruby (22.10.2007 um 05:51 Uhr) Grund: Update

  4. #4
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Haxfix Haxdoor Removal

    von allgemeinem Interesse und daher nochmal separat erwähnt:

    Eine neue Variante des Goldun infiziert die iexplore.exe und 'tropft' eine Fake Kopie der sfc_os.dll in den system32 Ordner. Eine Kopie der alten iexplore.exe und sfc_os.dll wird in den temp-Ordner als eine (random??) .tmp Datei verschoben. Das Haxfix untersucht ob die iexplore.exe mit dieser variante infiziert ist und es untersucht, ob eine saubere Kopie der iexplore.exe im dllcache oder im temp-Ordner vorhanden ist. Wenn die iexplore.exe infiziert ist, wird es sie durch die Kopie ersetzen, die im dllcache oder im temp-Ordner gefunden wird. Das Gleiche gilt für die sfc_os.dll. Wenn keine Kopiene der iexplore.exe gefunden werden, wird der Internet Explorer nach Verwendung des Removers nicht mehr starten.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. haxdoor
    Von thilo25 im Forum Archiv
    Antworten: 3
    Letzter Beitrag: 24.12.2005, 11:40
  2. Antworten: 3
    Letzter Beitrag: 07.06.2005, 09:00
  3. Haxdoor-h
    Von Sanne im Forum Archiv
    Antworten: 42
    Letzter Beitrag: 02.03.2005, 15:36

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •