3
Dldr.small.cwj.216
Es nervte, aber es hat ein Ende gefunden
Hallo,
ich wollte mal kurz meine Erfahrung der letzten 2 Tage mit einem virus zum Besten geben.
Vielleicht hilft es ja dem Einen oder Anderen..
Gestern habe ich mir irgendwo einen Virus eingefangen, der auch durch Avira AntiVir
nicht zu killen war. Bei jedem Neustart des Rechners fand AntiVir einen Trojaner
mit der Kennung : Dldr.small.cwj.216 und löschte diese auch fein...nur gebracht hat es nichts.
Welche Auswirkungen hatte der Trojaner :
1. Der Zugriff aufs Internet wurde permanent geblockt...immer etwas in der Richtung
DNS-Error...also eine leere Seite.
2. Nach kurzzeitiger Deaktivierung und anschließender Aktivierung der Netzwerkschnittstelle
konnte man für einige Sekunden ins Internet bzw. auf die Netzwerkressourcen zugreifen,
danach ging nichts mehr.
3. Der PC war sehr sehr langsam....CPU Leistung häufig bei 100%
4. Der Taskmanager, Hijack, und auch Autoruns brachte nichts verwerfliches ans
Tageslicht....so dachte ich...alles sah ganz normal aus.
Auch ein Scan im abgesicherten Modus brachte nichts ...
Ich stand kurz vorm "Plattmachen" des Systems und neu aufsetzen.
Dann habe ich im Internet, nach längerem Suchen, einen Beitrag gefunden, in
dem von der Datei JUSCHED.EXE gesprochen wurde.
Die hatte für mich eigentlich nichts bösartiges, zumal folgender Eintrag angezeigt wurde.
SunJavaUpdateSchedJava(TM) 2 Platform Standard Edition binary (Verified) Sun Microsystems, Inc. c:\programme\java\jre1.5.0_11\bin\jusched.exe
Lange Rede kurzer Sinn, ich habe die jusched.exe einfach mal abgeschaltet, und alles war sofort in Ordnung...
Jetzt weiß ich aber auch nicht, ob es wirklich der Trojaner war, oder nur ein dummer Zufall.
Habt einer von Euch schon eine ähnliche Erfahrung gemacht ?
Dieses "Dingen" hat echt genervt..
Gruß
Roger
ich wollte mal kurz meine Erfahrung der letzten 2 Tage mit einem virus zum Besten geben.
Vielleicht hilft es ja dem Einen oder Anderen..
Gestern habe ich mir irgendwo einen Virus eingefangen, der auch durch Avira AntiVir
nicht zu killen war. Bei jedem Neustart des Rechners fand AntiVir einen Trojaner
mit der Kennung : Dldr.small.cwj.216 und löschte diese auch fein...nur gebracht hat es nichts.
Welche Auswirkungen hatte der Trojaner :
1. Der Zugriff aufs Internet wurde permanent geblockt...immer etwas in der Richtung
DNS-Error...also eine leere Seite.
2. Nach kurzzeitiger Deaktivierung und anschließender Aktivierung der Netzwerkschnittstelle
konnte man für einige Sekunden ins Internet bzw. auf die Netzwerkressourcen zugreifen,
danach ging nichts mehr.
3. Der PC war sehr sehr langsam....CPU Leistung häufig bei 100%
4. Der Taskmanager, Hijack, und auch Autoruns brachte nichts verwerfliches ans
Tageslicht....so dachte ich...alles sah ganz normal aus.
Auch ein Scan im abgesicherten Modus brachte nichts ...
Ich stand kurz vorm "Plattmachen" des Systems und neu aufsetzen.
Dann habe ich im Internet, nach längerem Suchen, einen Beitrag gefunden, in
dem von der Datei JUSCHED.EXE gesprochen wurde.
Die hatte für mich eigentlich nichts bösartiges, zumal folgender Eintrag angezeigt wurde.
SunJavaUpdateSchedJava(TM) 2 Platform Standard Edition binary (Verified) Sun Microsystems, Inc. c:\programme\java\jre1.5.0_11\bin\jusched.exe
Lange Rede kurzer Sinn, ich habe die jusched.exe einfach mal abgeschaltet, und alles war sofort in Ordnung...
Jetzt weiß ich aber auch nicht, ob es wirklich der Trojaner war, oder nur ein dummer Zufall.
Habt einer von Euch schon eine ähnliche Erfahrung gemacht ?
Dieses "Dingen" hat echt genervt..
Gruß
Roger
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 55263
Url: https://administrator.de/contentid/55263
Printed on: April 25, 2024 at 11:04 o'clock
3 Comments
Latest comment
Jusched ist einfach nur der Java-Prozeß
es kann sein, das der Trojaner Java baisert ist
--> Lad dir adaware runter und scan alles!
und poste danach nochmals
es kann sein, das der Trojaner Java baisert ist
--> Lad dir adaware runter und scan alles!
und poste danach nochmals
Hallo Solipsists,
ich weiß, dass der "Jusched" ein Java-Prozeß ist, nur es war schon irgendwie
komisch, dass nach Abschalten des Prozesses auf einmal alles wieder ging.
Kann natürlich sein, dass ich auch im Zeichen der "Hektik" einen ähnlichen Namen
gesehen habe...ich hatte das gestern mit den Prozessen
svchost und svchostl
Die sehen auf den 1. Blick gleich aus, aber auch nur auf den 1. Blick.
Adaware hat auch nichts vernünftiges zu Tage gebracht.
Habe da aber eine Datei entdeckt, die damit zusammenhängen muss.
Im Rootverzeichnis der Festplatte c: befindet sich eine Datei mit dem
Namen : RSA1.Exe und eine Datei mit den Namen RSA1.PIF.
Ein Aufruf dieser Datei erzeugt genau die Virenmeldungen bei AntiVir, die ich
vorher beschrieben habe. Ergo muss es damit zusammenhängen.
Wie gesagt : Nach Abschalten des Jusched bzw. ähnlich lautendem Prozess
war alles wieder in Ordnung.
Unter RSA1.EXE habe ich auch noch nichts im Internet gefunden, scheint also
irgendwie neueren Datums zu sein.
Momentan ist Ruhe im Karton, und es ist auch kein verdächtiges Verhalten des PC´s
zu bemerken.....ich forsche mal weiter. Bin mir sicher, dass ich nicht der Einzige bin und bleibe, dem dieses passiert...
Gruß
Roger
ich weiß, dass der "Jusched" ein Java-Prozeß ist, nur es war schon irgendwie
komisch, dass nach Abschalten des Prozesses auf einmal alles wieder ging.
Kann natürlich sein, dass ich auch im Zeichen der "Hektik" einen ähnlichen Namen
gesehen habe...ich hatte das gestern mit den Prozessen
svchost und svchostl
Die sehen auf den 1. Blick gleich aus, aber auch nur auf den 1. Blick.
Adaware hat auch nichts vernünftiges zu Tage gebracht.
Habe da aber eine Datei entdeckt, die damit zusammenhängen muss.
Im Rootverzeichnis der Festplatte c: befindet sich eine Datei mit dem
Namen : RSA1.Exe und eine Datei mit den Namen RSA1.PIF.
Ein Aufruf dieser Datei erzeugt genau die Virenmeldungen bei AntiVir, die ich
vorher beschrieben habe. Ergo muss es damit zusammenhängen.
Wie gesagt : Nach Abschalten des Jusched bzw. ähnlich lautendem Prozess
war alles wieder in Ordnung.
Unter RSA1.EXE habe ich auch noch nichts im Internet gefunden, scheint also
irgendwie neueren Datums zu sein.
Momentan ist Ruhe im Karton, und es ist auch kein verdächtiges Verhalten des PC´s
zu bemerken.....ich forsche mal weiter. Bin mir sicher, dass ich nicht der Einzige bin und bleibe, dem dieses passiert...
Gruß
Roger
Das von Dir genannte Schadprogramm fand erstmalig im Februar diesen Jahres eine signifikante Verbreitung.
Es gehoert, wie das Akronym schon sagt zu der Gruppe der "Downloader".
Einmal auf dem Rechner erstellt, bzw. laedt er folgende Dateien nach und modifiziert die Registrierdatenbank-Schluessel:
h91746.exe
%system%\dlh9jkd1q8.exe
%system%\dlh9jkd1q7.exe
%system%\qvxga6met3.exe
%system%\qvx5gamet2.exe
%system%\max1d641.exe
%system%\ma.exe.exe
vs000002.cwj_tr.exe
vxga1me4t1.exe
%profile%\local settings\temp\ixqlsxgh.exe
%system%\dlh9jkd1q6.exe
%system%\dlh9jkd1q5.exe
%system%\dlh9jkd1q2.exe
%system%\dlh9jkd1q1.exe
%system%\cubtzv32.dll
%system%\comcs32u.dll
%system%\comcs32m.dll
%system%\bofhn32.dll
ibm00002.dll
ibm00001.dll
%system%\kfejwmi.dll
%system%\dsuiexq.dll
%system%\usjbgwl.dll
%system%\ufypth.dll
shdocvs.dll
61.tmp
comcs32m.dll
comcs32u.dll
cubtzv32.dll
dlh9jkd1q2.exe
dlh9jkd1q5.exe
dlh9jkd1q6.exe
dlh9jkd1q7.exe
dsuiexq.dll
ibm00002.dll
ixqlsxgh.exe
kfejwmi.dll
ma.exe.exe
main.sys
max1d641.exe
qvxt34.game
runtime.sys
%system%\usjbgwl.dll
%system%\qvxga6met3.exe
%system%\ufypth.dll
%system%\dlh9jkd1q6.exe
%system%\dlh9jkd1q7.exe
%system%\dlh9jkd1q8.exe
%system%\dsuiexq.dll
%system%\hdefvz.sys
%system%\kfejwmi.dll
%system%\ma.exe.exe
%system%\max1d641.exe
%system%\qvx5gamet2.exe
h91746.exe
hdefvz.sys
shdocvs.dll
ufypth.dll
usjbgwl.dll
ibm00001.dll
vs000002.cwj_tr.exe
vx1t3.game
%profile%\local settings\temp\ixqlsxgh.exe
%profile%\local settings\temp\ma1xdd1.game
%profile%\local settings\temp\qv3xt3.game
%profile%\local settings\temp\qvxt34.game
%profile%\local settings\temp\qvxt42.game
vxga1me4t1.exe
%system%\bofhn32.dll
%system%\comcs32m.dll
%system%\comcs32u.dll
%system%\cubtzv32.dll
%system%\dlh9jkd1q1.exe
%system%\dlh9jkd1q2.exe
%system%\dlh9jkd1q5.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices systemtools
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload cdrecorder031
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload dcom server 60787
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\winopts firstrunr4
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\winopts prtclosedretr
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb nextinstance
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 class
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 classguid
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 configflags
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 devicedesc
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 legacy
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 service
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000\control *newlycreated*
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000\control activeservice
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example errorcontrol
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example imagepath
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example start
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example type
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb displayname
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb errorcontrol
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb imagepath
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb objectname
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb start
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb type
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum 0
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum count
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum nextinstance
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\parameters servicedll
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\security security
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\progid
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\typelib
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\versionindependentprogid
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}\inprocserver32 threadingmodel
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} installation
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} register
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} request
HKEY_CURRENT_USER\clsid\{f862b760-0a21-1033-0729-0529050001}
HKEY_CURRENT_USER\software\adwaredisablekey4
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} installation
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} register
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} request
HKEY_CURRENT_USER\software\classes\clsid\{f862b760-0a21-1033-0729-0529050001}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run {1862b760-0a21-1033-0729-0529050001}
HKEY_LOCAL_MACHINE\software\adwaredisablekey4
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq asynchronous
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq dllname
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq impersonate
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq startup
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg asynchronous
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg dllname
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg impersonate
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg startup
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4f67b44e-7ba5-aef4-828e-074034113a82}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler {2c1cd3d7-86ac-4068-93bc-a02304b60787}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run usjbgwl.dll
sowie als Autostarteintrag:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run usjbgwl.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices systemtools
saludos
gnarff
Es gehoert, wie das Akronym schon sagt zu der Gruppe der "Downloader".
Einmal auf dem Rechner erstellt, bzw. laedt er folgende Dateien nach und modifiziert die Registrierdatenbank-Schluessel:
h91746.exe
%system%\dlh9jkd1q8.exe
%system%\dlh9jkd1q7.exe
%system%\qvxga6met3.exe
%system%\qvx5gamet2.exe
%system%\max1d641.exe
%system%\ma.exe.exe
vs000002.cwj_tr.exe
vxga1me4t1.exe
%profile%\local settings\temp\ixqlsxgh.exe
%system%\dlh9jkd1q6.exe
%system%\dlh9jkd1q5.exe
%system%\dlh9jkd1q2.exe
%system%\dlh9jkd1q1.exe
%system%\cubtzv32.dll
%system%\comcs32u.dll
%system%\comcs32m.dll
%system%\bofhn32.dll
ibm00002.dll
ibm00001.dll
%system%\kfejwmi.dll
%system%\dsuiexq.dll
%system%\usjbgwl.dll
%system%\ufypth.dll
shdocvs.dll
61.tmp
comcs32m.dll
comcs32u.dll
cubtzv32.dll
dlh9jkd1q2.exe
dlh9jkd1q5.exe
dlh9jkd1q6.exe
dlh9jkd1q7.exe
dsuiexq.dll
ibm00002.dll
ixqlsxgh.exe
kfejwmi.dll
ma.exe.exe
main.sys
max1d641.exe
qvxt34.game
runtime.sys
%system%\usjbgwl.dll
%system%\qvxga6met3.exe
%system%\ufypth.dll
%system%\dlh9jkd1q6.exe
%system%\dlh9jkd1q7.exe
%system%\dlh9jkd1q8.exe
%system%\dsuiexq.dll
%system%\hdefvz.sys
%system%\kfejwmi.dll
%system%\ma.exe.exe
%system%\max1d641.exe
%system%\qvx5gamet2.exe
h91746.exe
hdefvz.sys
shdocvs.dll
ufypth.dll
usjbgwl.dll
ibm00001.dll
vs000002.cwj_tr.exe
vx1t3.game
%profile%\local settings\temp\ixqlsxgh.exe
%profile%\local settings\temp\ma1xdd1.game
%profile%\local settings\temp\qv3xt3.game
%profile%\local settings\temp\qvxt34.game
%profile%\local settings\temp\qvxt42.game
vxga1me4t1.exe
%system%\bofhn32.dll
%system%\comcs32m.dll
%system%\comcs32u.dll
%system%\cubtzv32.dll
%system%\dlh9jkd1q1.exe
%system%\dlh9jkd1q2.exe
%system%\dlh9jkd1q5.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices systemtools
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload cdrecorder031
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload dcom server 60787
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\winopts firstrunr4
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\winopts prtclosedretr
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb nextinstance
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 class
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 classguid
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 configflags
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 devicedesc
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 legacy
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000 service
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000\control *newlycreated*
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_gb\0000\control activeservice
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example errorcontrol
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example imagepath
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example start
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\example type
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb displayname
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb errorcontrol
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb imagepath
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb objectname
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb start
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb type
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum 0
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum count
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\enum nextinstance
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\parameters servicedll
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\gb\security security
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\progid
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\typelib
HKEY_CLASSES_ROOT\clsid\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}\versionindependentprogid
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{2c1cd3d7-86ac-4068-93bc-a02304b60787}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{4f67b44e-7ba5-aef4-828e-074034113a82}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{a3bc5e20-0235-1abf-9ce1-00aa00512031}\inprocserver32 threadingmodel
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} installation
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} register
HKEY_CURRENT_USER\clsid\{1862b760-0a21-1033-0729-0529050001} request
HKEY_CURRENT_USER\clsid\{f862b760-0a21-1033-0729-0529050001}
HKEY_CURRENT_USER\software\adwaredisablekey4
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} installation
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} register
HKEY_CURRENT_USER\software\classes\clsid\{1862b760-0a21-1033-0729-0529050001} request
HKEY_CURRENT_USER\software\classes\clsid\{f862b760-0a21-1033-0729-0529050001}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run {1862b760-0a21-1033-0729-0529050001}
HKEY_LOCAL_MACHINE\software\adwaredisablekey4
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq asynchronous
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq dllname
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq impersonate
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\a3dxq startup
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg asynchronous
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg dllname
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg impersonate
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winsys2freg startup
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4f67b44e-7ba5-aef4-828e-074034113a82}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler {2c1cd3d7-86ac-4068-93bc-a02304b60787}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run usjbgwl.dll
sowie als Autostarteintrag:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run usjbgwl.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices systemtools
saludos
gnarff
