|
|
| 2236_32.dll, xpupdate.exe
|
|
2236_32.dll,xpupdate.exe, windows security center -> remove
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - C:\WINDOWS\System32\2236_32.dll
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Install.dat
C:\WINDOWS\xpupdate.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32
12.09.2006 20:36 17 dlh9jkdq8.exe
12.09.2006 18:44 1 kr_done1
12.09.2006 18:44 157.696 2236_32.dll
12.09.2006 10:25 1 vx.tll
12.09.2006 10:25 17.960 dlh9jkdq2.exe
2236_32.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32]
@="C:\\WINDOWS\\System32\\2236_32.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"="DCOM Server 2236"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"DCOM Server 2236"="{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"
|
-----------------
Gehe in die Registry
start -Ausfuehren - regedit
bearbeiten - suchen - DCOM Server 2236 und 2236_32.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
loeschen:
"{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
loeschen:
"DCOM Server 2236"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
loeschen:
Wallpaper=C:\WINDOWS\desktop.html
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "sheriff.reg" auf dem Desktop doppelklicken.
REGEDIT4
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoActiveDesktopChanges"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-
"NoThemesTab"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=-
"NoComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoCloseDragDropBands"=-
"NoMovingBands"=-
"NoHTMLWallPaper"=-
"NoChangingWallPaper"=-
|
Avenger
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}
Files to delete:
C:\Windows\xpupdate.exe
C:\WINDOWS\desktop.html
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\2236_32.dll
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\maindll.dll
|
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k
smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html
scanne mit kaspersky
http://virus-protect.org/onlinescan.html
|
|
|