Trojaner-Board - Täglich grüßt das Murmeltier!“

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Täglich grüßt das Murmeltier!“ (https://www.trojaner-board.de/76652-taeglich-gruesst-murmeltier.html)

Täglich grüßt das Murmeltier!“

Tag allerseits!

XPprof SP3

Da ich McAfee überdrüssig bin, darum einen anderen Schutzmechanismus installieren möchte, will ich meinen Rechner von McAfee gänzlich befreien.

Das gelingt mir nicht.

Denn der Eintrag „McAfee Inc. mverkdk“ wird bei jedem Systemupload in der Registry in: [HKEY_LOCAL_MACINE]System\CurrentControlSet\Enum\Root\LEGACY_MFERKDK\0000 DeviceDesc REG_SZ neu gesetzt.

Nach meinem Wissensstand habe ich alles probiert; wie wir wissen, kann man den Inhalt des DeviceDesc alphanumerisch und binär ändern.

Lange Rede: Ich kann machen was ich will, die Einträge bleiben – oder werden neu gesetzt.

Besonders nervös bin ich, weil zweifelsfrei McAfee

a) [HKEY_LOCAL_MACINE]System\CurrentControlSet\Enum\Root\LEGACY_

„0117131250395303mcinstcleanup\0000“

und

b) „0117131250395303mcinstcleanup“ in msconfig->Dienste (inaktiv) eingetragen hat!

Irgendwo wird es eine Procedure (ein Murmeltier) geben, die diese Aktionen ausführt. Nur wo?

Dann noch: Wie lösche ich einen Eintrag in msconfig->Dienste; wie gelangt ein unbenanntes Systemstartelement (ohne Befehlsbeschreibung) in msconfig->Programme?

Ich bitte um weiterführende Hinweis oder Ratschläge.

Danke für Eure Mühe.

Einen schönen Sonntag!

Frau Holle

Randbemerkung: Dass ich anfangs an „profaneren“ Orten als in der Registry gesucht habe, versteht sich.

Zitat:

Zitat von Frau Holle (Beitrag 458473)

Denn der Eintrag „McAfee Inc. mverkdk“ wird bei jedem Systemupload in der Registry in: [HKEY_LOCAL_MACINE]System\CurrentControlSet\Enum\Root\LEGACY_MFERKDK\0000 DeviceDesc REG_SZ neu gesetzt.

Setze bei Regmon (google) einen Filter "*LEGACY_MFERKDK*" und nutze die Option "Log Boot".

Zitat:

b) „0117131250395303mcinstcleanup“ in msconfig->Dienste (inaktiv) eingetragen hat!

dito; zusätzlich:
regedit > in HKLM\System\CurrentControlSet\Services nach 0117131250395303mcinstcleanup suchen.

Zitat:

wie gelangt ein unbenanntes Systemstartelement (ohne Befehlsbeschreibung) in msconfig->Programme?

Befehl, Pfad?

Marc

Händisch kann das eine ziemliche Sauerei werden, insb. wenn noch Treiber im System hängen. Hast du es schon damit versucht: http://service.mcafee.com/FAQDocument.aspx?id=TS100507

...oder stammen gar die Einträge von dem tool?

edit: zusätzlich zu Marcs Tipp kannst du mit Autoruns nach dem MFERKDK-Treiber Ausschau halten und den Haken vor dem entsprechenden Eintrag entfernen (besser noch nicht löschen, bevor sichergestellt ist, dass der Computer normal hochfährt)

MightyMarc, DaleCooper,

danke für Eure Tipps!

Grundsätzlich frage ich mich, wie man Folgendes interpretieren soll: McAfee beschreibt die Vorgehensweise einer De- dann Neuinstallation; vor der Neuinstallation soll lt. MA ggf. eine zusätzliche McAfee-Deinstallationsroutine „MCPR“ gestartet werden. Vermutlich ein „Cleaner-Prog“ wie z.B. von Nero, oder G Data – dachte ich mir. Deinstallation,
nun stecke ich bis zum Hals drin!

MightyMarc: Weil ich heute noch in die Sonne will, habe ich Deine Ratschläge noch nicht in die Tat umgesetzt...
Echt gut Dein RegMon-Tipp! Weil ich schon mal auf der Seite stand, habe ich mir FileMon und den Process-Monitor auch gezogen.

Eines wollte ich jedoch fragen.
In der Doku zum Process-Monitor steht u.a.: „...Dieses Tool vereint die Features der beiden älteren Dienstprogramme Filemon und Regmon von Sysinternals und ergänzt diesen Funktionsumfang mit einer Fülle von Verbesserungen, beispielsweise...“.

Du kennst den Process-Monitor? Ist der sooo viel besser? Brauche ich mir RegMon eventuell nicht „antun“?

Nochmals Dank an Euch.

Nun aber ab in die Sonne!
Euch noch ´nen schönen (Rest)sonntag

Frau Holle

Ps.: An dieser Stelle muss ich ein Posting aus einem Linux-Forum zitieren:

„Ich brauche für einen Kumpel unbedingt: Zeta, Vmware, Cedega, XP-Kernel. Der will das zusammen basteln. Könnt ihr mir helfen? P.S.:Wer mir hilft bekommt das Endprodukt Gratis!“

Zitat:

Zitat von Frau Holle (Beitrag 458709)

McAfee beschreibt die Vorgehensweise einer De- dann Neuinstallation; vor der Neuinstallation soll lt. MA ggf. eine zusätzliche McAfee-Deinstallationsroutine „MCPR“ gestartet werden. Vermutlich ein „Cleaner-Prog“ wie z.B. von Nero, oder G Data – dachte ich mir.

Hast Du den von Dale verlinkten Deinstaller mal versucht (Direktlink zur Executable)?

Zitat:

Du kennst den Process-Monitor? Ist der sooo viel besser? Brauche ich mir RegMon eventuell nicht „antun“?

Ich muss gestehen, dass ich bisher immer nur file- und regmon, sowie andere Stand-alone-tools verwendet habe.
Aber procmon wird schon reichen.

Marc

Moin Marc!

Ja, MCPR war mir bekannt und habe ihn auch schon gestartet. Im Ablauf der Executable wurden Dutzende Fehler gemeldet. Ein Beispiel für viele:

„Removing product VS: Error obtaining full permissions for clean up. Some products may not me fully removed”

“full permissions”?

Die finale Verabschiedung dann: „INCOMPLETE CLEANUP, Please reboot to finish removing all files“

“Please reboot to finish removing all files“? …Und täglich grüßt das Murmeltier!

Ein (temporärer?) Lichtblick: In der Registry wurde ein McAfee-Eintrag freigegeben. Den löschte ich. In der msconfig fehlt nun der unbekannte Eintrag „0117131250395303mcinstcleanup“. Dat is doch auch schon wat.

MCPR ein armlanges Listing erzeugt. Das muss ich durchsehen.

Irgendwie habe ich das Gefühl, als käme ich der Lösung näher.

Ich danke für Deine Mühe.

Gruß
Fr. Holle