Windows 7 4.535 Themen, 43.587 Beiträge

Verfolgung starten Optionen

Datei in der Registry

dogger1 / 3 Antworten / Baumansicht Nickles

Die Datei in der Registry ist voll rootkits und lässt sich nicht löschen. Auch nicht als Administrator. Poste euch den Scan von GMER. Ich hoffe Ihr könnt mir helfen.

Reg HKLM\SYSTEM\CurrentControlSet\services\4981dd83a3e2b376

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2012-08-12 09:11:27
Windows 6.1.7601 Service Pack 1


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\4981dd83a3e2b376@ImagePath \SystemRoot\System32\Drivers\4981dd83a3e2b376.sys
Reg HKLM\SYSTEM\CurrentControlSet\services\4981dd83a3e2b376@Group Boot Bus Extender
Reg HKLM\SYSTEM\CurrentControlSet\services\4981dd83a3e2b376@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\services\4981dd83a3e2b376@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\services\4981dd83a3e2b376@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\services\4981dd83a3e2b376@Tag 1
Reg HKLM\SYSTEM\CurrentControlSet\services\4981dd83a3e2b376@DisplayName syshost.exe
Reg HKLM\SYSTEM\ControlSet002\services\4981dd83a3e2b376@ImagePath \SystemRoot\System32\Drivers\4981dd83a3e2b376.sys
Reg HKLM\SYSTEM\ControlSet002\services\4981dd83a3e2b376@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\services\4981dd83a3e2b376@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\services\4981dd83a3e2b376@Type 1
Reg HKLM\SYSTEM\ControlSet002\services\4981dd83a3e2b376@Start 0
Reg HKLM\SYSTEM\ControlSet002\services\4981dd83a3e2b376@Tag 1
Reg HKLM\SYSTEM\ControlSet002\services\4981dd83a3e2b376@DisplayName syshost.exe

---- EOF - GMER 1.0.15 ----

bei Antwort benachrichtigen
torsten40 dogger1 „Datei in der Registry“
Optionen

Da der Eintrag unter Services ist, schau mal in der Computerverwaltung unter der Rubrik Dienste nach syshost.exe. Aktive Dienste lassen sich nicht löschen
Start 0 sollte allerdings ein deaktivierter Dienst sein

Mit dem Löschen des Dienstes ist nicht getan. Das Ding kommt immer wieder.
Da hilft nur eine saubere Neuinstallertion. Zusätzlich den MBR  löschen

Freigeist
bei Antwort benachrichtigen
celsius dogger1 „Datei in der Registry“
Optionen

Na da hast du dir aber eine schöne Spambotmalware "eingefangen".

http://en.wikipedia.org/wiki/Sober_%28worm%29

Eine saubere Neuinstallation ist wir torsten40 schon sagt, definitiv notwendig.

bei Antwort benachrichtigen
dogger1 celsius „Na da hast du dir aber eine schöne Spambotmalware...“
Optionen

vielen dank füreure hilfe. anscheinend hängt da noch viel mehr dran. das AVG ist nicht mehr aktiv und lässt sich, auch trotz neuinstallation, nicht reparieren. Malwarebyts schmeisst auch ständig ne fehlermeldung rauss. Bei AVG bekomme ich inzwischenauch ne meldung. sende euchmal den scan,


"C:\Windows\system32\drivers\PCIIDEX.SYS";"IRP-Hook, \Driver\pciide IRP_MJ_POWER -> PCIIDEX.SYS +0x2C7C"
"C:\Windows\system32\drivers\PCIIDEX.SYS";"IRP-Hook, \Driver\pciide IRP_MJ_SYSTEM_CONTROL -> PCIIDEX.SYS +0x8AEC"
"C:\Windows\system32\drivers\PCIIDEX.SYS";"IRP-Hook, \Driver\pciide IRP_MJ_PNP -> PCIIDEX.SYS +0x8AB8"
"C:\Windows\system32\drivers\ataport.SYS";"IRP-Hook, \Driver\atapi IRP_MJ_CREATE -> ataport.SYS +0x21880"
"C:\Windows\system32\drivers\ataport.SYS";"IRP-Hook, \Driver\atapi IRP_MJ_CLOSE -> ataport.SYS +0x21880"
"C:\Windows\system32\drivers\ataport.SYS";"IRP-Hook, \Driver\atapi IRP_MJ_DEVICE_CONTROL -> ataport.SYS +0x7500"
"C:\Windows\system32\drivers\ataport.SYS";"IRP-Hook, \Driver\atapi IRP_MJ_INTERNAL_DEVICE_CONTROL -> ataport.SYS +0x74D8"
"C:\Windows\system32\drivers\ataport.SYS";"IRP-Hook, \Driver\atapi IRP_MJ_POWER -> ataport.SYS +0x7528"
"C:\Windows\system32\drivers\ataport.SYS";"IRP-Hook, \Driver\atapi IRP_MJ_SYSTEM_CONTROL -> ataport.SYS +0x1C4E0"
"C:\Windows\system32\drivers\ataport.SYS";"IRP-Hook, \Driver\atapi IRP_MJ_PNP -> ataport.SYS +0x1C4AC"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_CREATE -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_CLOSE -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_READ -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_WRITE -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_FLUSH_BUFFERS -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_DEVICE_CONTROL -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_INTERNAL_DEVICE_CONTROL -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_SHUTDOWN -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_POWER -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_SYSTEM_CONTROL -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\CLASSPNP.SYS";"IRP-Hook, \Driver\Disk IRP_MJ_PNP -> CLASSPNP.SYS +0x19E0"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_CREATE -> HIDCLASS.SYS +0x2710"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_CLOSE -> HIDCLASS.SYS +0x2710"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_READ -> HIDCLASS.SYS +0x2710"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_WRITE -> HIDCLASS.SYS +0x2710"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_DEVICE_CONTROL -> HIDCLASS.SYS +0x2710"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_INTERNAL_DEVICE_CONTROL -> HIDCLASS.SYS +0x2710"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_POWER -> HIDCLASS.SYS +0x2710"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_SYSTEM_CONTROL -> HIDCLASS.SYS +0x2710"
"C:\Windows\system32\DRIVERS\HIDCLASS.SYS";"IRP-Hook, \Driver\HidUsb IRP_MJ_PNP -> HIDCLASS.SYS +0x2710"


 


 


 


 

 

bei Antwort benachrichtigen