Sdbot.n und Rpcmon.exe |
||
---|---|---|
#0
| ||
20.08.2005, 14:01
...neu hier
Beiträge: 4 |
||
|
||
21.08.2005, 15:57
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Lkwjoe
http://virus-protect.org/Artikel/dienste/Rpcmon.html Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip --entpacken-- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Enum] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RPCMON] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Rpcmon\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Enum] Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.tu-berlin.de/www/software/virus/savemode.shtml Die Datei "fixme.reg" auf dem Desktop doppelklicken. rkfiles --Doppelklick(Ausfuehren)--rkfiles.bat-- warten bis sich das DOS-Fenster schliesst...auch wenn es lange dauert --- poste C:\log.txt --------------------------------------------------------------------------------- wieder im Normalmodus: bitte abarbeiten und auch die pfade mitkopieren http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2005, 03:18
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
vielen Dank für Deine Mühe! Hier meine Ergebnisse: Daten der Log.txt: Zitat C:\Dokumente und Einstellungen\Administrator\DesktopErgebnisse aus datFind.bat: Zitat 1.)Beim Ausführen der "rkfiles.bat" kam einige Male die Meldung "Datei nicht gefunden"... Gruss, Joe ;-) |
|
|
||
22.08.2005, 12:29
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Lkwjoe
Ueberpruefe bitte, ob die reg-Datei erfolgreich war und die Eintraege aus der Registry entfernt sind. Ansonsten ist alles sauber __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2005, 12:40
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Sabina,
nein, die Einträge in der Registry sind immer noch da, lassen sich auch nicht manuell löschen. Kann man die belassen? Gruss, Joe |
|
|
||
22.08.2005, 13:14
Ehrenmitglied
Beiträge: 29434 |
#6
Sollte man Probleme haben, die Einträge zu löschen,
„Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels“, dann gehe mit Rechtsklick im Kontextmenü auf: „Berechtigungen“ Setze das Häkchen bei „Vollzugriff zulassen“ Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2005, 13:42
...neu hier
Themenstarter Beiträge: 4 |
#7
Leider finde ich keine Möglichkeit die Berechtigungen zu ändern.
Auch auf allen meinen anderen Win2000-Systemen habe ich versucht in der Registry einen Kontextmenuepunkt "Berechtigungen" zu finden - vergeblich! Ich werde die Einträge jetzt mal lassen, das System läuft ja wieder so weit problemlos. Danke für Eure Hilfe! Gruss, Joe |
|
|
||
natürlich ist mein PC relativ gut gesichert (Router, Firewall, AV) aber ein Freund meinte mit einem komplett "offenen" Rechner via ISDN ins Internet gehen zu müssen - und nun sind die Probleme natürlich da:
Laut Hijackthis hat sich "SDBOT.N" eingenistet und "Rpcmon.exe" wurde geschrieben.
Hier in Eurem Forum habe ich zwar schon einiges über die exe finden können, da dies aber ein Arbeitsrechner ist und darauf sehr wichtige Daten sind (natürlich nicht gesichert...), würde ich gern sicher gehen möglichst richtig vorzugehen. Ich hoffe ihr könnt mir helfen.
Hijackthis-Protokoll:
Zitat
Registry Search nach "Rpcmon":Zitat
Vielen Dank schon mal vorab!Gruss,
Joe
Hat sich vermutlich erledigt:
Habe mich jetzt doch herangetraut, mit den Anleitungen aus anderen Threads...
Hat geklappt! :-)
Die "Rpcmon.exe" ist weg, Hijackthis findet auch nichts störendes mehr und die CPU-Auslastung ist wieder im normalen Bereich.
Zitat
Nur Regsearch findet immer noch Einträge auf "Rpcmon", diese lassen sich auch nicht löschen:Zitat
Aber ich denke das kann man ignorieren?Ich werde jetzt noch ne Firewall installieren und hoffen das dann wieder Ruhe ist.
Danke für Euer Forum! :-)
Gruss,
Joe