Hallo mindless,
O4 - HKLM\..\RunServices: [winlog] winlog.exe
Immer noch da.
Kein Verzeichnispfad,wie in den unteren Beispielen.Ganz typisch für eine Installation durch einen Wurm.
Beispiel:
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
In diesen beiden Beispielen kannst du der Exe Datei ganz leicht nachspüren,da du den Pfad dafür siehst.
NeroCheck.exe
Diese hier findest du ,wenn du über C >Windows Ordner > System 32 Ordner aufmachst und darin nach der Nero exe suchst.
as kannst du hier eben nicht machen :
O4 - HKLM\..\RunServices: [winlog] winlog.exe
Das ist auch Absicht so....
Ein sehr sicheres Indiz für einen Wurm....
..und "Agobot erstellt ganz genau diesen Eintrag,nachzulesen im Sophos Link unter "erweitert"
Versuche mal bei "Virustotal" diese "winlog exe" einzugeben.Sollte ein Ergebnis zustande kommen (ich zweifel dran) dann poste es bitte.
Du kannst auch mal versuchen über die "suchen" Funktion deiner Kiste nach der datei forschen zu lassen.
Dazu Start > suchen > und den Namen eingeben.Läßt sie sich finden,hingehen zu dem Pdad und von dort aus hochladen bei "Virustotal.
Ich denke aber das du eine Fehlermeldung bekommst ,weil ein "run" Datei normalerweise nicht hochgeladen werden kann.
Sir Reklov