|
|
|
MainService, Troj/Urbin, nprotect.exe
HijackThis
O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINDOWS\system32\nprotect.exe
Start -> Ausführen --> schreib rein: notepad -- klicke OK.
oder , falls das Kommando nicht stimmt, öffne den TextEditor....
Dann kopiere folgenden Text rein:
sc stop MainService
sc delete MainService
del delete.bat
|
Auf dem Desktop abspeichern als "delete.bat". --> Doppeltklicken
löschen:
C:\WINDOWS\etb\pokapoka79.exe
C:\WINDOWS\system32\rlvknlg.exe
c:\windows\system32\nprotect.exe
C:\WINDOWS\wrutuf.exe
Start -- Ausführen -- regedit
bearbeiten--> suchen--> MAINSERVICE
Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MAINSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MainService
|
Unknown Service
Service Name: MainService
Display Name: Protected Exchange
Start Mode: Auto
Start Name: LocalSystem
Description: Provides encrypted communication for sensitive data, such as private keys, to prevent access by ...
Service Type: Own Process
Path: c:\windows\system32\nprotect.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch
Troj/Urbin-C is a Trojan for the Windows platform.
When Troj/Urbin-C is run it installs the following files:
System\Protected Exchange\hooklib.dll
System\Protected Exchange\loadsvc.exe
The file loadsvc.exe is registered as a new system driver service named "MainService", with a display name of "Protected Exchange" and a startup type of automatic, so that it is started automatically during system startup. Registry entries are created under:
HKLM\SYSTEM\CurrentControlSet\Services\MainService\
The Trojan may redirect internet searches, display popups or modify contents of web pages
http://www.sophos.com/virusinfo/analyses/trojurbinc.html
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren
Doppelklick:regsrch.vbs
reinkopieren:
MainService
Press 'OK'
warten, bis die Suche beendet ist.
|
|
