Virus- bzw. Trojaner- Problem |
||
|---|---|---|
| #0
| ||
|
07.10.2005, 15:21
Member
Themenstarter Beiträge: 29 |
#31
ja habe ich geamcht sogar mit regedit normal gelöscht gesucht fservice.exe gelösht kommt aber immer wieder neu
|
|
 
|
|
|
|
07.10.2005, 15:26
Ehrenmitglied
 Beiträge: 29434 |
#32
pass auf, wir machen zur Zeit zwei verschiedene Dinge gleichzeitig, eins ist der prorat und eins sind die registry-Eintraege der Dienste.
bleiben wir erst mal bei den Diensten. hast du die REGEDIT4 mit abkopiert ? (weil meine reg-Dateien nicht funktionieren) hast du die Endung reg gegeben , genau nach Anweisung? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.10.2005, 15:29
Member
Themenstarter Beiträge: 29 |
#33
ja habe ich kan man die regedit datein manuel machen was du vorhast? ich hab aber beide gleichzeitig gemacht also nur 1 mal rebootet
|
|
|
|
|
|
|
07.10.2005, 15:29
Ehrenmitglied
Beiträge: 29434 |
#34
nun das zweite:
wenn es da ist: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run loesche mit rechtsklick: DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe \\\loesche diesesn Eintrag mit rechtsklick: C:\WINDOWS\system32\fservice.exe HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ loesche: (5Y99AE78-58TT-11dW-BE53-Y67078979Y)\StubPath="C:\WINDOWS\system32\sservice.exe" schliesse die Registry fixe mit dem HijackThis: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe PC neustarten kopiere noch aml alle Dateien in die Killbox, beim letzten bestaetige, dass neugebootet wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.10.2005, 15:31
Member
Themenstarter Beiträge: 29 |
#35
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
loesche mit rechtsklick: DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe \\\loesche diesesn Eintrag mit rechtsklick: C:\WINDOWS\system32\fservice.exe HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ loesche: (5Y99AE78-58TT-11dW-BE53-Y67078979Y)\ StubPath = "C:\WINDOWS\system32\sservice.exe was soll ich mit diesen datein machen ich hab ne frage weisst du wieso ich keine virus programme öffnen kan wegen prorat oder? |
|
|
|
|
|
|
07.10.2005, 15:32
Ehrenmitglied
Beiträge: 29434 |
#36
mache die reg Datein nicht zusammen, sondern einzeln, weil jede eine andere bezeichnung hat und du wahrscheinlich auch zweimal REGEDIT4 mit reinkopiert hast......das funktioniert nicht....
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.10.2005, 15:34
Ehrenmitglied
Beiträge: 29434 |
#37
ich hab geschrieben loesche, wo was zu loeschen ist, arbeite bitte ruhig und lese vorher alles. Sonst wird es so hektisch und nichts funktioniert
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.10.2005, 15:34
Member
Themenstarter Beiträge: 29 |
#38
ja ich ahbe sie einzeln aber ich habe rst das eine gesucht dan das andere gesucht und nciht erst das eine gesucht dan nochmal neugestartet im bgesicherten und dan das andere gesucht sondern beides gleichzeitig gesucht
wie finde ich diese datein von oben mit regedit bei ausführen? hast du icq oder so damit wir schneller kommunizieren können wäre echt hilfreich hier damit du dich nciht unnötig aufregst über mich die neuen fixme und fix fixme: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "ntload" 07.10.2005 15:49:28 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Secure Mime Handlers] "CorTransientLoader.CorLoad.1"="" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTLOAD] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTLOAD\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTLOAD\0000] "Service"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTLOAD\0000] "DeviceDesc"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD] "DisplayName"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD\Enum] "0"="Root\\LEGACY_NTLOAD\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD\0000] "Service"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD\0000] "DeviceDesc"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD] "DisplayName"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD\0000] "Service"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD\0000] "DeviceDesc"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD] "DisplayName"="NTLOAD" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD\Enum] "0"="Root\\LEGACY_NTLOAD\\0000" fix: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "NTSVCMGR" 07.10.2005 15:50:23 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR\0000] "Service"="NTSVCMGR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR\0000] "DeviceDesc"="NTSVCMGR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR] "DisplayName"="NTSVCMGR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR\Enum] "0"="Root\\LEGACY_NTSVCMGR\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSVCMGR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSVCMGR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSVCMGR\0000] "Service"="NTSVCMGR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSVCMGR\0000] "DeviceDesc"="NTSVCMGR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTSVCMGR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTSVCMGR] "DisplayName"="NTSVCMGR" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTSVCMGR\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTSVCMGR\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR\0000] "Service"="NTSVCMGR" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR\0000] "DeviceDesc"="NTSVCMGR" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTSVCMGR] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTSVCMGR] "DisplayName"="NTSVCMGR" bitte helf mir noch weiter Dieser Beitrag wurde am 07.10.2005 um 15:58 Uhr von Karacan editiert.
|
|
|
|
|
|
|
08.10.2005, 00:34
Ehrenmitglied
Beiträge: 29434 |
#39
Karacan
ich war nicht da...ich habe im realen leben auch noch einen Job usw.  also, die Eintraege sind alle noch da. wende bitte noch mal die zwei reg-Dateien an, aber einzeln bitte, dann ueberpruefe noch mal, ob die Eintraege weg sind. wenn nicht, erklaere ich, wie du sie manuell loeschst. und kuemmere dich auch um den Prorat, also alles abarbeiten, Registry und killbox Start-->Ausfuehren-->regedit bearbeiten--> suchen--> fservice.exe sservice.exe dann aber nur loeschen, was ich oben angegeben habe in der Registry muss man vorsichtig sein__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.10.2005, 14:14
Member
Themenstarter Beiträge: 29 |
#40
ja ich hab die dateien gelöscht fservice sservice ich weis aber nciht ob die ganz weg gehn ei einem neustart kommen die weder erklär mir wie ich das andere problem manuell lösche also nciht das mit dem prorat sondernd as andere
|
|
|
|
|
|
|
08.10.2005, 16:22
Ehrenmitglied
Beiträge: 29434 |
#41
Hallo@
http://virus-protect.org/virenservice.html Start -- Ausführen -- regedit bearbeiten-->suchen--> NTSVCMGR NTLOAD Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. PC neustarten und immer mit dem reg-Tool prufen, ob die Eintraege weg sind. wenn das fertig ist, sage Bescheid, dann beginnen die Virenscans mit anderen Virenscannern als bisher (um dem prorat den Garaus zu machen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.10.2005, 14:11
Member
Themenstarter Beiträge: 29 |
#42
ja sie sind weg was jetzt?
|
|
|
|
|
|
|
09.10.2005, 14:39
Ehrenmitglied
Beiträge: 29434 |
#43
wunderbar
nun wende das Tool an und poste die Ergebnisse.http://virus-protect.org/multiavtool.html danach poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.10.2005, 15:20
Member
Themenstarter Beiträge: 29 |
#44
nach einem neustart kommen die wieder ich hab mit rgsearch gesucht 13 ntload gefunden ich hab das tool gedownloadet es erscheint error wen ich start menu klicke es kan kein script finden steht da
Dieser Beitrag wurde am 09.10.2005 um 15:23 Uhr von Karacan editiert.
|
|
|
|
|
|
|
09.10.2005, 15:42
Ehrenmitglied
Beiträge: 29434 |
#45
wenn du die Eintraege loeschst, mussten sie auch aus der Registry verschwunden sein, es sei denn, der Virus ist noch auf dem PC und erstellt sie neu.
So wie die Dinge liegen, ist es wohl doch angebrachter, wenn du formatierst, der PC ist sehr sehr verseucht, vom Prorat, und dann von den anderen Viren, welche die Dienste erstellen und von Kaspersky nicht gefunden werden, also wahrscheinlich sind es neue Viren. Formatiere, es ist die vernuenftigste Loesung, dann mache gleich die Windowsupdates, lade SP2 und poste das neue log vom HijackThis hier. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten