Antivir hat TR/crypt.D 109 erkannt was nun?

#0
23.11.2005, 12:56
...neu hier

Beiträge: 1
#1 Also ich möcht gern wissen was "genau" das für ein trojaner ist und wie ich den wieder los werde....

Irgendwie schaff ich das mit antivir net...
Kenn mich damit halt noch nicht so aus...

für Hilfe und wirkungsvolle Tips bin ich wirklich dankbar.

LG Runaway
Seitenanfang Seitenende
23.11.2005, 19:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Runaway ;)

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2006, 22:57
...neu hier

Beiträge: 3
#3 Hi, hab das Prob auch.

Aber HiJackThis funktioniert nicht. Beim Klick kommt nur kurz die Sanduhr und das wars. Auf meinem 2. Rechner läuft HiJackThis.

Scan von meiner 2. Kiste:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:03, on 02.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\ATKKBService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\nvidGUIv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Dokumente und Einstellungen\MysticMagican\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--------------------

DatFind:

system32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F863-DB5C

Verzeichnis von C:\WINDOWS\system32

02.01.2006 22:17 21.787 nvapps.xml
02.01.2006 22:17 7.168 remon.sys
02.01.2006 01:25 71 i
02.01.2006 00:15 2.206 wpa.dbl
23.12.2005 20:41 7.006 jupdate-1.5.0_06-b05.log
13.12.2005 16:52 98.304 CmdLineExt.dll
29.11.2005 13:56 386 $WINNT$.INF
28.11.2005 23:50 48.360 perfc007.dat
28.11.2005 23:50 311.740 perfh009.dat
28.11.2005 23:50 316.924 perfh007.dat
28.11.2005 23:50 40.128 perfc009.dat
28.11.2005 23:50 723.744 PerfStringBackup.INI
25.11.2005 00:43 25.065 wmpscheme.xml
25.11.2005 00:18 90.296 FNTCACHE.DAT
25.11.2005 00:16 2.951 CONFIG.NT
25.11.2005 00:16 16.832 amcompat.tlb
25.11.2005 00:16 23.392 nscompat.tlb
25.11.2005 00:16 488 logonui.exe.manifest
25.11.2005 00:16 488 WindowsLogon.manifest
25.11.2005 00:16 749 sapi.cpl.manifest
25.11.2005 00:16 749 ncpa.cpl.manifest
25.11.2005 00:16 749 nwc.cpl.manifest
25.11.2005 00:16 749 wuaucpl.cpl.manifest
25.11.2005 00:16 749 cdplayer.exe.manifest
25.11.2005 00:14 21.740 emptyregdb.dat
25.11.2005 00:11 0 h323log.txt
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe

---------------------

systemtemp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F863-DB5C

Verzeichnis von C:\DOKUME~1\MYSTIC~1\LOKALE~1\Temp

02.01.2006 17:46 2.159 jusched.log
02.01.2006 09:02 841 metal.png
24.12.2005 15:07 939 jupdate1.5.0.xml
23.12.2005 20:41 792 java_install_reg.log
23.12.2005 20:40 23.568 java_install.log
23.12.2005 20:39 884 jinstall.cfg
23.12.2005 20:39 91.305 tmp-1.xpi
19.12.2005 07:20 123.684 Microsoft Office Excel Viewer 2003 Setup(0001)_Task(0001).txt
19.12.2005 07:20 5.596 Microsoft Office Excel Viewer 2003 Setup(0001).txt
14.12.2005 01:21 253.956 drm_dyndata.dll
13.12.2005 15:40 4.592 SIntfIcn.ani
13.12.2005 15:40 20.020 SIntf32.dll
13.12.2005 15:40 24.748 SIntfNT.dll
13.12.2005 15:40 12.305 SIntf16.dll
11.12.2005 14:06 46.080 ~e5d141.tmp
04.12.2005 18:21 919.931 tmp.xpi
29.11.2005 14:43 81.920 5621.rra
29.11.2005 14:29 31.744 1be3e6.mst
29.11.2005 12:10 0 ~1.tmp
26.11.2005 12:19 868.352 ~DF6D79.tmp
25.11.2005 01:08 868.352 ~DFF5E8.tmp
25.11.2005 01:07 110.592 2a2bf.mst
25.11.2005 01:06 34.816 3a9bf.mst
25.11.2005 01:03 868.352 ~DFFED2.tmp
25.11.2005 00:54 32.256 35779.ms

-----------------------

system:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F863-DB5C

Verzeichnis von C:\WINDOWS

02.01.2006 22:17 0 0.log
02.01.2006 22:17 2.048 bootstat.dat
02.01.2006 22:17 123.334 ntbtlog.txt
02.01.2006 22:07 15.584 SchedLgU.Txt
02.01.2006 18:43 367.043 setupapi.log
02.01.2006 00:21 65.024 nvidGUIv.exe
23.12.2005 21:27 85.920 DirectX.log
23.12.2005 20:41 3.362 mozver.dat
21.12.2005 17:47 50 wiaservc.log
21.12.2005 17:47 214 wiadebug.log
04.12.2005 18:12 0 nsreg.dat
01.12.2005 15:49 104 nTune.INI
01.12.2005 15:48 114 NVProfileManager.INI
01.12.2005 15:47 106 NVMonitor.INI
01.12.2005 15:03 99.970 UninstallFirefox.exe
29.11.2005 18:45 54.466 iis6.log
29.11.2005 18:45 17.973 comsetup.log
29.11.2005 18:45 1.393 imsins.log
29.11.2005 18:45 13.014 tsoc.log
29.11.2005 18:45 9.201 ntdtcsetup.log
29.11.2005 18:45 1.626 tabletoc.log
29.11.2005 18:45 9.769 KB893803.log
29.11.2005 18:45 18.590 ocgen.log
29.11.2005 18:45 1.277 ocmsn.log
29.11.2005 18:45 3.560 netfxocm.log
29.11.2005 18:45 1.177 msgsocm.log
29.11.2005 18:45 17.719 FaxSetup.log
29.11.2005 18:45 11.922 msmqinst.log
29.11.2005 14:43 281 cod2demo.ini
29.11.2005 14:31 24.209 wmsetup.log
29.11.2005 14:31 316.640 WMSysPr9.prx
28.11.2005 23:49 836 Windows Update.log
26.11.2005 12:21 227 system.ini
26.11.2005 12:21 472 win.ini
25.11.2005 00:44 588 xpsp1hfm.log
25.11.2005 00:44 200 q329256.log
25.11.2005 00:43 829 OEWABLog.txt
25.11.2005 00:42 790.260 setuplog.txt
25.11.2005 00:18 8.192 REGLOCS.OLD
25.11.2005 00:18 4.438 imsins.BAK
25.11.2005 00:18 186.811 setupact.log
25.11.2005 00:16 0 control.ini
25.11.2005 00:16 299.552 WMSysPrx.prx
25.11.2005 00:16 4.161 ODBCINST.INI
25.11.2005 00:16 749 WindowsShell.Manifest
25.11.2005 00:14 1.060 sessmgr.setup.log
25.11.2005 00:14 37 vbaddin.ini
25.11.2005 00:14 36 vb.ini
25.11.2005 00:14 128 DtcInstall.log
25.11.2005 00:05 0 Sti_Trace.log
25.11.2005 00:05 1.348 regopt.log
25.11.2005 00:04 0 setuperr.log

--------------------

sys:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F863-DB5C

Verzeichnis von C:\

02.01.2006 22:36 0 sys.txt
02.01.2006 22:36 5.397 system.txt
02.01.2006 22:36 2.440 systemtemp.txt
02.01.2006 22:36 94.709 system32.txt
02.01.2006 22:17 1.610.612.736 pagefile.sys
26.11.2005 12:21 194 boot.ini
25.11.2005 00:16 0 AUTOEXEC.BAT
25.11.2005 00:16 0 IO.SYS
25.11.2005 00:16 0 MSDOS.SYS
25.11.2005 00:16 0 CONFIG.SYS

Da sind noch ältere Einträge. Der Rechner existiert aber erst seit Anfang November... ??

Spybot findet das:

--- Search result list ---
Windows Security Center.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0

Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

Windows Security Center.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0

Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Windows Security Center.TaskManager: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr!=dword:0

Windows Security Center.TaskManager: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr!=dword:0

Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

ValueClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---


Das olle Security-Center hab ich gleich nach der Install mundtot gemacht! Die Meldung kam noch nie!?

Und noch eines:
AntiVir(der Guard) bringt die Datei "remon.sys" als TR/Rootkit.Agent.AB
x-mal die ANweisnug gegeben, es zu löschen aber es kommt immer wieder!

Ich hab die Schnauze voll. Soviel wie die letzten beiden Tage hab ich das ganze letzte Quartal nicht mit dem Schei... zugebracht. Das Jahr fängt echt gut an!

In diesem Sinne: Ein frohes neues Jahr, allen!
Seitenanfang Seitenende
02.01.2006, 23:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 MysticMagica

Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "nvidGUIv (nvidGUIv2)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"nvidGUIv (nvidGUIv2) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

nvidGUIv.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

REMON

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

nvidGUIv2

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

----------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\nvidGUIv.exe
C:\WINDOWS\system32\remon.sys
C:\WINDOWS\system32\i

PC neustarten

WORM_SDBOT.CTQ
http://www.trendmicro-middleeast.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.CTQ
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.01.2006, 04:20
...neu hier

Beiträge: 3
#5 Das "nvid.." ist auch schlecht? Ich hab ´nen nForce4 und ´ne GT6600 drin?

nvidGUIv.exe:

"no instances found"

REMON:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "REMON" 03.01.2006 04:10:35

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000]
"Service"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000]
"DeviceDesc"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON\0000\Control]
"ActiveService"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon]
"DisplayName"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon\Enum]
"0"="Root\\LEGACY_REMON\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON\0000]
"Service"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON\0000]
"DeviceDesc"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon]
"DisplayName"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000]
"Service"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000]
"DeviceDesc"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON\0000\Control]
"ActiveService"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]
"DisplayName"="remon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon\Enum]
"0"="Root\\LEGACY_REMON\\0000"

nvidGUIv2:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "nvidGUIv2" 03.01.2006 04:13:14

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2\0000]
"Service"="nvidGUIv2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2\0000\Control]
"ActiveService"="nvidGUIv2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2\Enum]
"0"="Root\\LEGACY_NVIDGUIV2\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2\0000]
"Service"="nvidGUIv2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nvidGUIv2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nvidGUIv2\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2\0000]
"Service"="nvidGUIv2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2\0000\Control]
"ActiveService"="nvidGUIv2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2\Enum]
"0"="Root\\LEGACY_NVIDGUIV2\\0000"
Seitenanfang Seitenende
03.01.2006, 15:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als she.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nvidGUIv2]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "she.reg" auf dem Desktop doppelklicken.

Start -- Ausführen -- regedit (reinschreiben)

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

bearbeiten--> suchen --> remon


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_REMON]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_REMON]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMON]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\remon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]

bearbeiten--> suchen --> NVIDGUIV2

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVIDGUIV2]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NVIDGUIV2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVIDGUIV2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvidGUIv2]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nvidGUIv2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvidGUIv2]

HKEY_USERS\.DEFAULT\Software\Microsoft\
Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" <--aendere in dword:00000000

HKEY_USERS\.DEFAULT\Software\Microsoft\
Windows\CurrentVersion\Policies\System
DisableRegistryTools = "dword:00000001" <--aendere in dword:00000000

Security Center service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "dword:00000004" --> aendere in dword:00000002
Remote Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RemoteRegistry
Start = "dword:00000004" --> aendere in dword:00000002
Windows Update

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\WindowsUpdate\Auto Update
AuOptions = "dword:00000000" --> aendere in dword:00000002
Messenger service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger
Start = "dword:00000004" --> aendere in dword:00000002

TelNet Service


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TlntSvr
Start = "dword:00000004"-> aendere in dword:00000003

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
WaitToKillServiceTimeout = "7000" ---> aendere in 2000

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = "dword:00000001" ---> aendere in dword:00000000

PC neustarten

http://virus-protect.org/multiavtool.html

klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

poste hier die scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.01.2006, 17:33
...neu hier

Beiträge: 3
#7 Also.

Die Änderungen hab ich durchgeführt.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\WindowsUpdate\Auto Update
AuOptions = "dword:00000000" --> aendere in dword:00000002
Messenger service

stand nicht auf 0 sondern auf 1 --> keine änderung.

klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

kam keine dos-box, der scan hat gleich gestartet. keine ausgabe eines Protokolls...

hab dann noch mal "3" gedrückt. und dann: hey-ho-witzig! der sasser versteckt sich auch noch! hab gleich beim RPC-dienst die wiederherstellung geändert...

noch ideen?

auf jeden fall danke bis hierher...
Seitenanfang Seitenende
04.01.2006, 00:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 http://virus-protect.org/multiavtool.html
das tool hat auch noch zwei andere Viren scanner (1 und 2) ...scanne

dann gehe bitte in die Datei, wo du multiavtool abgespeichert hast...dort muessten alle logs gespeichert sein...ich will sie sehen, bitte)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende