Antivir hat TR/crypt.D 109 erkannt was nun? |
||
---|---|---|
#0
| ||
23.11.2005, 12:56
...neu hier
Beiträge: 1 |
||
|
||
23.11.2005, 19:29
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Runaway
Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.01.2006, 22:57
...neu hier
Beiträge: 3 |
#3
Hi, hab das Prob auch.
Aber HiJackThis funktioniert nicht. Beim Klick kommt nur kurz die Sanduhr und das wars. Auf meinem 2. Rechner läuft HiJackThis. Scan von meiner 2. Kiste: Logfile of HijackThis v1.99.1 Scan saved at 22:24:03, on 02.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\ATKKBService.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\nvidGUIv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ftp.exe C:\Dokumente und Einstellungen\MysticMagican\Desktop\hijackthis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -------------------- DatFind: system32: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F863-DB5C Verzeichnis von C:\WINDOWS\system32 02.01.2006 22:17 21.787 nvapps.xml 02.01.2006 22:17 7.168 remon.sys 02.01.2006 01:25 71 i 02.01.2006 00:15 2.206 wpa.dbl 23.12.2005 20:41 7.006 jupdate-1.5.0_06-b05.log 13.12.2005 16:52 98.304 CmdLineExt.dll 29.11.2005 13:56 386 $WINNT$.INF 28.11.2005 23:50 48.360 perfc007.dat 28.11.2005 23:50 311.740 perfh009.dat 28.11.2005 23:50 316.924 perfh007.dat 28.11.2005 23:50 40.128 perfc009.dat 28.11.2005 23:50 723.744 PerfStringBackup.INI 25.11.2005 00:43 25.065 wmpscheme.xml 25.11.2005 00:18 90.296 FNTCACHE.DAT 25.11.2005 00:16 2.951 CONFIG.NT 25.11.2005 00:16 16.832 amcompat.tlb 25.11.2005 00:16 23.392 nscompat.tlb 25.11.2005 00:16 488 logonui.exe.manifest 25.11.2005 00:16 488 WindowsLogon.manifest 25.11.2005 00:16 749 sapi.cpl.manifest 25.11.2005 00:16 749 ncpa.cpl.manifest 25.11.2005 00:16 749 nwc.cpl.manifest 25.11.2005 00:16 749 wuaucpl.cpl.manifest 25.11.2005 00:16 749 cdplayer.exe.manifest 25.11.2005 00:14 21.740 emptyregdb.dat 25.11.2005 00:11 0 h323log.txt 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe --------------------- systemtemp: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F863-DB5C Verzeichnis von C:\DOKUME~1\MYSTIC~1\LOKALE~1\Temp 02.01.2006 17:46 2.159 jusched.log 02.01.2006 09:02 841 metal.png 24.12.2005 15:07 939 jupdate1.5.0.xml 23.12.2005 20:41 792 java_install_reg.log 23.12.2005 20:40 23.568 java_install.log 23.12.2005 20:39 884 jinstall.cfg 23.12.2005 20:39 91.305 tmp-1.xpi 19.12.2005 07:20 123.684 Microsoft Office Excel Viewer 2003 Setup(0001)_Task(0001).txt 19.12.2005 07:20 5.596 Microsoft Office Excel Viewer 2003 Setup(0001).txt 14.12.2005 01:21 253.956 drm_dyndata.dll 13.12.2005 15:40 4.592 SIntfIcn.ani 13.12.2005 15:40 20.020 SIntf32.dll 13.12.2005 15:40 24.748 SIntfNT.dll 13.12.2005 15:40 12.305 SIntf16.dll 11.12.2005 14:06 46.080 ~e5d141.tmp 04.12.2005 18:21 919.931 tmp.xpi 29.11.2005 14:43 81.920 5621.rra 29.11.2005 14:29 31.744 1be3e6.mst 29.11.2005 12:10 0 ~1.tmp 26.11.2005 12:19 868.352 ~DF6D79.tmp 25.11.2005 01:08 868.352 ~DFF5E8.tmp 25.11.2005 01:07 110.592 2a2bf.mst 25.11.2005 01:06 34.816 3a9bf.mst 25.11.2005 01:03 868.352 ~DFFED2.tmp 25.11.2005 00:54 32.256 35779.ms ----------------------- system: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F863-DB5C Verzeichnis von C:\WINDOWS 02.01.2006 22:17 0 0.log 02.01.2006 22:17 2.048 bootstat.dat 02.01.2006 22:17 123.334 ntbtlog.txt 02.01.2006 22:07 15.584 SchedLgU.Txt 02.01.2006 18:43 367.043 setupapi.log 02.01.2006 00:21 65.024 nvidGUIv.exe 23.12.2005 21:27 85.920 DirectX.log 23.12.2005 20:41 3.362 mozver.dat 21.12.2005 17:47 50 wiaservc.log 21.12.2005 17:47 214 wiadebug.log 04.12.2005 18:12 0 nsreg.dat 01.12.2005 15:49 104 nTune.INI 01.12.2005 15:48 114 NVProfileManager.INI 01.12.2005 15:47 106 NVMonitor.INI 01.12.2005 15:03 99.970 UninstallFirefox.exe 29.11.2005 18:45 54.466 iis6.log 29.11.2005 18:45 17.973 comsetup.log 29.11.2005 18:45 1.393 imsins.log 29.11.2005 18:45 13.014 tsoc.log 29.11.2005 18:45 9.201 ntdtcsetup.log 29.11.2005 18:45 1.626 tabletoc.log 29.11.2005 18:45 9.769 KB893803.log 29.11.2005 18:45 18.590 ocgen.log 29.11.2005 18:45 1.277 ocmsn.log 29.11.2005 18:45 3.560 netfxocm.log 29.11.2005 18:45 1.177 msgsocm.log 29.11.2005 18:45 17.719 FaxSetup.log 29.11.2005 18:45 11.922 msmqinst.log 29.11.2005 14:43 281 cod2demo.ini 29.11.2005 14:31 24.209 wmsetup.log 29.11.2005 14:31 316.640 WMSysPr9.prx 28.11.2005 23:49 836 Windows Update.log 26.11.2005 12:21 227 system.ini 26.11.2005 12:21 472 win.ini 25.11.2005 00:44 588 xpsp1hfm.log 25.11.2005 00:44 200 q329256.log 25.11.2005 00:43 829 OEWABLog.txt 25.11.2005 00:42 790.260 setuplog.txt 25.11.2005 00:18 8.192 REGLOCS.OLD 25.11.2005 00:18 4.438 imsins.BAK 25.11.2005 00:18 186.811 setupact.log 25.11.2005 00:16 0 control.ini 25.11.2005 00:16 299.552 WMSysPrx.prx 25.11.2005 00:16 4.161 ODBCINST.INI 25.11.2005 00:16 749 WindowsShell.Manifest 25.11.2005 00:14 1.060 sessmgr.setup.log 25.11.2005 00:14 37 vbaddin.ini 25.11.2005 00:14 36 vb.ini 25.11.2005 00:14 128 DtcInstall.log 25.11.2005 00:05 0 Sti_Trace.log 25.11.2005 00:05 1.348 regopt.log 25.11.2005 00:04 0 setuperr.log -------------------- sys: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F863-DB5C Verzeichnis von C:\ 02.01.2006 22:36 0 sys.txt 02.01.2006 22:36 5.397 system.txt 02.01.2006 22:36 2.440 systemtemp.txt 02.01.2006 22:36 94.709 system32.txt 02.01.2006 22:17 1.610.612.736 pagefile.sys 26.11.2005 12:21 194 boot.ini 25.11.2005 00:16 0 AUTOEXEC.BAT 25.11.2005 00:16 0 IO.SYS 25.11.2005 00:16 0 MSDOS.SYS 25.11.2005 00:16 0 CONFIG.SYS Da sind noch ältere Einträge. Der Rechner existiert aber erst seit Anfang November... ?? Spybot findet das: --- Search result list --- Windows Security Center.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0 Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0 Windows Security Center.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0 Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0 Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0 Windows Security Center.TaskManager: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr!=dword:0 Windows Security Center.TaskManager: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr!=dword:0 Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0 ValueClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done) --- Spybot - Search & Destroy version: 1.4 (build: 20050523) --- Das olle Security-Center hab ich gleich nach der Install mundtot gemacht! Die Meldung kam noch nie!? Und noch eines: AntiVir(der Guard) bringt die Datei "remon.sys" als TR/Rootkit.Agent.AB x-mal die ANweisnug gegeben, es zu löschen aber es kommt immer wieder! Ich hab die Schnauze voll. Soviel wie die letzten beiden Tage hab ich das ganze letzte Quartal nicht mit dem Schei... zugebracht. Das Jahr fängt echt gut an! In diesem Sinne: Ein frohes neues Jahr, allen! |
|
|
||
02.01.2006, 23:52
Ehrenmitglied
Beiträge: 29434 |
#4
MysticMagica
Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "nvidGUIv (nvidGUIv2)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "nvidGUIv (nvidGUIv2) " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: nvidGUIv.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: REMON Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: nvidGUIv2 Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ---------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\nvidGUIv.exe C:\WINDOWS\system32\remon.sys C:\WINDOWS\system32\i PC neustarten WORM_SDBOT.CTQ http://www.trendmicro-middleeast.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.CTQ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.01.2006, 04:20
...neu hier
Beiträge: 3 |
#5
Das "nvid.." ist auch schlecht? Ich hab ´nen nForce4 und ´ne GT6600 drin?
nvidGUIv.exe: "no instances found" REMON: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "REMON" 03.01.2006 04:10:35 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000] "Service"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000] "DeviceDesc"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000\Control] "ActiveService"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon] "DisplayName"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Enum] "0"="Root\\LEGACY_REMON\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON\0000] "Service"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON\0000] "DeviceDesc"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon] "DisplayName"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000] "Service"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000] "DeviceDesc"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000\Control] "ActiveService"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon] "DisplayName"="remon" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Enum] "0"="Root\\LEGACY_REMON\\0000" nvidGUIv2: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "nvidGUIv2" 03.01.2006 04:13:14 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2\0000] "Service"="nvidGUIv2" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2\0000\Control] "ActiveService"="nvidGUIv2" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2\Enum] "0"="Root\\LEGACY_NVIDGUIV2\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2\0000] "Service"="nvidGUIv2" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nvidGUIv2] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nvidGUIv2\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2\0000] "Service"="nvidGUIv2" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2\0000\Control] "ActiveService"="nvidGUIv2" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2\Enum] "0"="Root\\LEGACY_NVIDGUIV2\\0000" |
|
|
||
03.01.2006, 15:05
Ehrenmitglied
Beiträge: 29434 |
#6
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als she.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "she.reg" auf dem Desktop doppelklicken. Start -- Ausführen -- regedit (reinschreiben) Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. bearbeiten--> suchen --> remon [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon] bearbeiten--> suchen --> NVIDGUIV2 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nvidGUIv2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2] HKEY_USERS\.DEFAULT\Software\Microsoft\ Windows\CurrentVersion\Policies\System DisableTaskMgr = "dword:00000001" <--aendere in dword:00000000 HKEY_USERS\.DEFAULT\Software\Microsoft\ Windows\CurrentVersion\Policies\System DisableRegistryTools = "dword:00000001" <--aendere in dword:00000000 Security Center service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\wscsvc Start = "dword:00000004" --> aendere in dword:00000002 Remote Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\RemoteRegistry Start = "dword:00000004" --> aendere in dword:00000002 Windows Update HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\WindowsUpdate\Auto Update AuOptions = "dword:00000000" --> aendere in dword:00000002 Messenger service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Messenger Start = "dword:00000004" --> aendere in dword:00000002 TelNet Service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\TlntSvr Start = "dword:00000004"-> aendere in dword:00000003 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control WaitToKillServiceTimeout = "7000" ---> aendere in 2000 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\WindowsUpdate DoNotAllowXPSP2 = "dword:00000001" ---> aendere in dword:00000000 PC neustarten http://virus-protect.org/multiavtool.html klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ poste hier die scanreporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.01.2006, 17:33
...neu hier
Beiträge: 3 |
#7
Also.
Die Änderungen hab ich durchgeführt. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\WindowsUpdate\Auto Update AuOptions = "dword:00000000" --> aendere in dword:00000002 Messenger service stand nicht auf 0 sondern auf 1 --> keine änderung. klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll kam keine dos-box, der scan hat gleich gestartet. keine ausgabe eines Protokolls... hab dann noch mal "3" gedrückt. und dann: hey-ho-witzig! der sasser versteckt sich auch noch! hab gleich beim RPC-dienst die wiederherstellung geändert... noch ideen? auf jeden fall danke bis hierher... |
|
|
||
04.01.2006, 00:05
Ehrenmitglied
Beiträge: 29434 |
#8
http://virus-protect.org/multiavtool.html
das tool hat auch noch zwei andere Viren scanner (1 und 2) ...scanne dann gehe bitte in die Datei, wo du multiavtool abgespeichert hast...dort muessten alle logs gespeichert sein...ich will sie sehen, bitte) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Irgendwie schaff ich das mit antivir net...
Kenn mich damit halt noch nicht so aus...
für Hilfe und wirkungsvolle Tips bin ich wirklich dankbar.
LG Runaway