also jetzt krieg ich ja grade schnappatmung, du sagst grade einem causal user das er in der reg rumfuhrwerken soll?????????

seine eigenen worte waren das er keine ahnung davon hat und da lässt du ihn auf die registry los. das halte ich für äußerst gefährlich!

öhm?

wo ist das Problem?  Seit NT gibt es doch ein vernümpftige Ordnerstruktur, das sollte er hinbekommen!

Zumal es sich hier wirklich nur um lausige RUN befehle handelt.

Jeder “Computer Bild” User wird doch dazu animiert Regtweaks einzusetzen - Also nun mal ans eingemachte.

Der schafft das schon, ich bin mir da ganz sicher!

nachtrag: er hat immernoch ne systemwiederherstellung - die ist ja laut den Logs aktiv

computer BILD….nunja…

egal wie trivial die änderungen in der reg scheinen, ich würde niemals jemanden der sich offen dazu bekennt kein computer-crack zu sein in der reg manuell einstellungen ändern lassen.

aber du hast ja das allheilmittel systemwiederherstellung.

ich halt mich da lieber raus und lass den “profi” machen.
es gibt btw genug werkzeuge die infizierte regs behandeln können ohne das der user sich da mühen machen muss sondern eine flotte gui bedienen kann und da nichts kaputt machen kann!

viel erfolg

Äh, ist ja heikel hier. Gut das ich gestern Abend auf dem Sofa lag… hei ei ei…

Siehste - und ich halte NULL von den ganzen “regcleanern”...

Er kann ja selbst entscheiden wie er damit umgeht. Das die Systemwiederherstellung nicht das allheilmittel ist weis ich selbst.

Da ich “profi” genug bin um ohne regcleaner und co. zu arbeiten verliere ich sicher ab und zu mal die übersicht… bzw. setze ich vielleicht zu viel voraus.
Na mal sehen ob er es geschafft hat. Ich drück die Daumen!

Falls er sein System zerschießt, hat er ja immernoch Deinen Plan “B” - Neu aufsetzen

Aber ich denke soweit muss es ja nicht kommen.

Aber um dem ganzen etwas mehr “sicherheit” zu geben hier ein kleines Script welches die Einträge löscht:
Den Code kopieren und in eine Datei namens “irgendwas.reg” speichern. dann per doppelklick ausführen. Die Dateiendung muss “reg” sein!!!

Dies löscht Dir den Wert svchost aus deiner Registry.
Der Wert “load” wird hingegen geleert.

Die Dateien musst Du per Hand löschen.

gine - 23 November 2010 10:51 PM

Keine Dateien aus ../system32/ !!!

alles was unter Anwendungsdaten im Userprofil liegt:

C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken. 

und in der registry

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> No action taken. 

was soll ich damit machen??Ich versteh nur Bahnhof. Datei “irgendwas.reg” erstellen? wie? Registry? Wie? Was?

Sorry das ich mich so blöd anstelle. Ich bin ein typ der seinen PC anmacht. Dort Texte schreibt,Spiele spielt, Bilder anschaut und Musik hört. Ich kann Ordner verschieben und Dinge installieren. Das ist mein Level
Und ja jetz geht überhaupt kein internet mehr. Wie setz ich die Proxyeinstellungen zurück?

Hast Du jemanden der Dich dabei unterstützen kann?

Ansonsten jetzt die harte Tour!

1. Geh auf Start -> Ausführen
2. Hier gibst Du “regedit” ein (ohne Gänsefüßchen)
3. Nun öffnet sich das Herz von Windows
4. Im Linken Fenter scrollst Du ganz nach oben - So das Du den Arbeitsplatz siehst.
5. Such Dir den Schlüssel HKEY_CURRENT_USER -> öffne Ihn (auf das kleine + klicken)
6. so hangelst Du dich durch die Ordner - Software - Microsoft - Windows NT - Current Version - Windows
7. im Ordner Windows findest Du Rechts einen “Wert” load. Auf diesen machst du einen Doppelklick. Jetzt öffnet sich ein kleines popup, hier löschst Du den Inhalt des Wertes und klickst auf “OK”

Das Gleiche machst du mit dem Wert der in HKEY_LOCAL_MASCHINE existiert, nur das Du den Wert “SVCHOST” im Ordner Run löschst (Rechte Maustaste - löschen)

Dann musst du “nurnoch” die Datei svchost.exe im Ordner C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft löschen. UND NUR DA!
(am besten im abgesicherten Modus)

sorry mehr kann ich jetzt nicht machen, muss arbeiten.

LG

Viel Dank! Ich versuchs heut Nachmittag. Habe leider niemanden der sich mit sowas auskennt.

Im Ordner Windows finde ich keinen „Wert“ load. In dem Ordner finde ich folgende Dateien/Werte:
(Standart)
DebugOptions
Device
Documents
DosPrint
NetMessage
NullPort
Programs

Unter HKEY_LOCAL_MASCHINE finde ich die Ordner Hardware und SAM mit vielen Unterordnern.

jut, dann überspring es, wichtiger ist es eh erstmal die svchost im userverzeichnis los zu werden.

gine - 24 November 2010 11:10 AM

Dann musst du “nurnoch” die Datei svchost.exe im Ordner C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft löschen. UND NUR DA!
(am besten im abgesicherten Modus)

sorry mehr kann ich jetzt nicht machen, muss arbeiten.

LG

also das hier?

Also bezüglich RegCleaner: Der RegCleaner der TuneUp Utilities hat mir mal meine Windows-Installation fast versaut. Nur weil der schön im Hintergrund werkt, heißt das noch lange nicht, dass dabei nichts kaputt gehen kann.

jau die

@endoplasmatisches reticulum

Aber das ist eben so schön einfach…
Wie gesagt, ich halte da auch nichts von, kein Computer ist wie der Andere.

also da muss ich mich nochmal verteidigen^^

tuneup utilities is der letzte scheiß! was mir dieses kack tool schon an nerven gekostet hat etc. wenn ich bei einem support rechner tune up sehe empfehle ich sofort eine neuinstallation!
tuneup schaltet zur systemsparsamkeit einige sehr tiefe dienste von win ab und das is wohl extrem bescheuert!
es gibt extra tools die nach solchen schlechten run befehlen suchen und kaputte reg einträge löscht, z.b. alte datei endungen die keine bedeutung mehr haben weil das tool wieder deinstalliert wurde etc.