Löschen von Registry-Einträgen
Dieter Albrecht
entfernt habe,
stellte ich fest, dass ein Eintrag "LEGACY_OREANS32" noch dreimal dort
verblieb und
sich auch nicht l�schen lie� ("Schl�ssel kann nicht gel�scht werden" wird
angezeigt).
Die Zeilen in der Registry lauten:
HKEY_LOKAL_MACHINE
System
CurrentControlSet
Control
Enum
Root
LEGACY_OREANS32
der gleiche Eintrag nochmals unter
....
....
ControlSet001 und
ControlSet002
Die befallene Treiberdatei oreans32.sys im Windowsverzeichnis
system32\driver wurde
nat�rlich auch entfernt. Ich benutze als Betriebssystem Windows XP SP 3 mit
allen updates.
Der Trojaner ist zwar nun gel�scht und wird auch nicht mehr angezeigt, aber
ich m�chte auch
den Rest der Infizierung aus der Registry entfernen. Wer kann mir helfen?
Danke im Voraus!
Heinz Chrudina
Newsbeitrag news:%23l1qdQU...@TK2MSFTNGP02.phx.gbl...
> Nachdem ich den Dienst "Oreans32" wegen Trojanerbefall in der Registry
> entfernt habe, stellte ich fest, dass ein Eintrag "LEGACY_OREANS32" noch
> dreimal dort verblieb und sich auch nicht l�schen lie� ("Schl�ssel kann nicht
> gel�scht werden" wird angezeigt).
Wenn du einen Rechtsklick auf den Schl�ssel (im linken Feld) machst,
und unter Berechtigungen den Vollzugriff w�hlst, m�sste es gehen. An
deiner Stelle w�rde ich aber wichtige Daten sichern, und den Rechner
neu aufsetzen. Du weisst sicher, warum ;-)
Heinz
--
Die Summe aller Laster ist eine Konstante.
Hermann
> dass ein Eintrag "LEGACY_OREANS32" noch dreimal dort
> verblieb und sich auch nicht l�schen lie�
Rechtsklick, Berechtigungen.
Hinzuf�gen --> Benutzername --> Vollzugriff.
> Der Trojaner ist zwar nun gel�scht und wird auch nicht mehr angezeigt,
> aber ich m�chte auch den Rest der Infizierung aus der Registry
> entfernen.
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
Gru�
Hermann
![Winfried Sonntag [MVP]'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjXdEqZtpkXz0AFa1lLZBTRauO9fuu7812JL6tBjN90kK4_WHg=s40-c)
Winfried Sonntag [MVP]
> Nachdem ich den Dienst "Oreans32" wegen Trojanerbefall in der Registry
> entfernt habe,
> stellte ich fest, dass ein Eintrag "LEGACY_OREANS32" noch dreimal dort
> verblieb und
> sich auch nicht l�schen lie� ("Schl�ssel kann nicht gel�scht werden" wird
> angezeigt).
Boote mit einer Bart-Boot-CD und lade daraus die Registry. Stichwort
Die Windows-Registry bearbeiten:
http://pcwelt-wiki.de/wiki/Bart_PE_Builder
Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Stefan Kanthak
> Nachdem ich den Dienst "Oreans32" wegen Trojanerbefall in der Registry
> entfernt habe,
Hast Du auch ALLE sonstigen Aenderungen in Deinem System, inklusive der
von den vom Trojaner nachgeladenen Schaedlingen vorgenommenen,
gefunden und rueckgaengig gemacht? Falls nein: NEUINSTALLATION!
Zudem: wie konnte sich ein Trojaner ueberhaupt einnisten und einen
Dienst installieren? Letzteres erfordert administrative Rechte!
Falls Du staendig als Administrator "arbeitest": das ist Dein primaerer
Fehler!
Richte Dir nach der Neuinstallation ein Konto als "Eingeschraenkter
Benutzer" ein und verwende ausschliesslich dieses zum Arbeiten.
Der Administrator ist NUR fuer administrative Aufgaben da.
Falls Du nicht staendig als Administrator arbeitest: wieso konnte der
Trojaner ueberhaupt ausgefuehrt werden, UND sich administrative Rechte
beschaffen? Beides setzt Fehler in Deinem Sicherheitskonzept voraus!
Hole Dir nach der Neuinstallation Deines Windows XP das Skript
<http://home.arcor.de/skanthak/download/XP_SAFER.INF>
und "installiere" es per Rechtsklick. Nach Neustart des Systems
koennen unter Normalbenutzerkonten ohne administrative Rechte keine
schaedlichen Programme mehr ausgefuehrt werden!
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �823
Abs. 1 sowie �1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)