Online-Scanner       Virenscanner       Gästebuch       Kontakt       Protecus.de Forum       Virus Weltkarte       Impressum       Datenschutz







PowerManager, LEGACY_POWERMANAGER, Win32.Hidrag


HijackThis

O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe


"Hidden Dragon virus. Born in a tropical swamp."
PowerManagerMutant

C:\WINDOWS\svchost.exe infected by "Win32.Hidrag" [ 36K ]
C:\WINDOWS\IsUn0407.exe infected by "Win32.Hidrag"
C:\WINDOWS\digfilt2.dll1 infected by "Trojan.Win32.Scagent.c"
C:\WINDOWS\system32\scagent.exe infected by "Trojan.Win32.Scagent.c"
C:\WINDOWS\httpfilter.dll infected by "Trojan.Win32.Scagent.c"
C:\WINDOWS\httpfilter2.dll infected by "Trojan.Win32.Scagent.g
C:\WINDOWS\System32\windrv.dll infected by "Trojan.Win32.Scagent.f

SYSTEM\CurrentControlSet\Services\scagent
SYSTEM\CurrentControlSet\Services\PowerManager
SYSTEM\CurrentControlSet\Services\PowerManager

C:\WINDOWS\httpfilter.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\IsUn0407.exe
C:\WINDOWS\digfilt2.dll
C:\WINDOWS\digfilt2.dll1


So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Power Manager" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der Power Manager beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der Power Manager läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.


* Öffne HijackThis
* Click: Config button.
* Click: Misc Tools button.
* waehle: Delete an NT service.
* schreibe oder kopiere in die Box:

PowerManager

* Click Ok.


Start - Ausführen - regedit

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PowerManager]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager]



Öffne den Texteditor (Notepad) und kopiere diesen Text rein.
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. abspeichern als: 018.bat.
Doppeltklicken und kopiere den Text ab, der angezeigt wird.



regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter"
start notepad.exe c:\key4.txt
exit


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"



Öffne den Texteditor (Notepad)- kopiere den folgenden Text rein - abspeichern als fix.reg - mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an.
klicke die fix.reg doppelt und füge sie der Registry bei

webviewhtml

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"


Download Registry Search by Bobbi Flekman: regsearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Power Manager


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager]
"DisplayName"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager]
"DisplayName"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]
"DeviceDesc"="Power Manager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager] "DisplayName"="Power Manager"


ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

Unknown Service # 9
Service Name: PowerManager
Display Name: Power Manager
Start Mode: Disabled
Start Name: LocalSystem
Description: Manages the power save features of the ...
Service Type: Own Process
Path: c:\windows\svchost.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False



Download RegLook : RegLook

A reg_look by IMM
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
(key has 0 subkeys and 7 value entries - last modified 05:40(UTC) 29/03/2004)
[AppInit_DLLs] = "wbsys.dll" (REG_SZ)
----------------------------------------
Handle OK.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(key has 5 subkeys and 32 value entries - last modified 20:21(UTC) 29/01/2005)
[Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ)
----------------------------------------
Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
(key has 0 subkeys and 5 value entries - last modified 00:50(UTC) 01/01/2002)
[Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)









startseite


©virus-protect.org      
startseite Valid HTML 4.01 Ranking-Hits antispam