MainService
|
MainService, Troj/Urbin, nprotect.exe
HijackThis
O23 - Service: Protected Exchange (MainService) - Unknown owner - C:\WINDOWS\system32\nprotect.exe Start -> Ausführen --> schreib rein: notepad -- klicke OK. oder , falls das Kommando nicht stimmt, öffne den TextEditor.... Dann kopiere folgenden Text rein:
Auf dem Desktop abspeichern als "delete.bat". --> Doppeltklicken
löschen:
C:\WINDOWS\etb\pokapoka79.exe C:\WINDOWS\system32\rlvknlg.exe c:\windows\system32\nprotect.exe C:\WINDOWS\wrutuf.exe
Start -- Ausführen -- regedit
bearbeiten--> suchen--> MAINSERVICE Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
Service Name: MainServiceDisplay Name: Protected ExchangeStart Mode: Auto Start Name: LocalSystem Description: Provides encrypted communication for sensitive data, such as private keys, to prevent access by ... Service Type: Own Process Path: c:\windows\system32\nprotect.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Troj/Urbin-C is a Trojan for the Windows platform. When Troj/Urbin-C is run it installs the following files: System\Protected Exchange\hooklib.dll System\Protected Exchange\loadsvc.exe The file loadsvc.exe is registered as a new system driver service named "MainService", with a display name of "Protected Exchange" and a startup type of automatic, so that it is started automatically during system startup. Registry entries are created under: HKLM\SYSTEM\CurrentControlSet\Services\MainService\
The Trojan may redirect internet searches, display popups or modify contents of web pages
http://www.sophos.com
Registry Search Tool laden:
RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: MainService Press 'OK' warten, bis die Suche beendet ist. 
|
