Trojaner-Board - HAB ICH NEN HIJACKER ???? auf meinem PC

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HAB ICH NEN HIJACKER ???? auf meinem PC (https://www.trojaner-board.de/5986-hab-nen-hijacker-meinem-pc.html)

Erst ma HALLO an alle hier - bin neu hier - und hab sicherlich nen Grund warum ich hier bin :D [img]graemlins/koch.gif[/img] [img]graemlins/heulen.gif[/img]

Hier mal einige Infos was mein PC alles macht bzw. nicht macht.

Beim Einlogen ins Netz – übernimmt mein I-Explorer immer die gleiche Startseite
res://btive.dll/index.html#96676. Zudem verändert er mir jedes mal wieder die obere Task Leiste im I-Explorer. Und auch Sachen wie z.B. mein Windows Media Player – oder das automatische Betriebssystem Update über die Systemsteuerung funktionieren nicht mehr. Zudem kommen Pop Up Fenster – und Browser Fenster die in regelmäßigen Abständen auf gehen.
Die meisten Sachen kann ich zwar rückgängig machen – aber wenn ich mich neu im Netz anmelde – verstellt sich alles wieder.

Dann habe ich meinen Norton Anti Virus drüber laufen lassen – der Fand dann befallene Daten wie z.B.:

• btive.dll (gibt Norton als Adware.Winshow aus)
• cd client.dll (wurde von Norton gelöscht)
• cd html.dll (wurde von Norton gelöscht)
• TopSearch.dll (wurde von Norton gelöscht)
• d3nm32.exe (gibt Norton als Adware.Iefeats aus)
• jfhng.dat (wird zwar von Norton gelöscht – kommt aber immer wieder)
• winqm.exe (gibt Norton als Adware.Iefeats aus)
-----
Dieser Kollege
• w32.klez.H@mm (habe ich mit nem Tool im abgesicherten Modus gelöscht)
hatte mir zusätzlich mein Norton Anti Virus Programm lahm gelegt. Hab es aber wieder zum laufen gebracht.

Norton erkennt zwar z.B. die Datei „btive.dll“ – löscht sie aber nicht. (keine Ahnung warum) – per Hand kann man sie aber löschen. Sie kommt aber immer wieder wenn ich mich ins Netz neu einwähle.

Dann habe ich Programme wie z.B. Ad-Aware 6 Probiert – dieses Programm findet div. Reg Einträge die den Zusatz res://btive.dll/index.html#96676 habe. Die kann man zwar löschen – aber sie kommen wieder sobald man sich ins Netzt einwählt.

Ein ganz winzig kleine Erfolg konnte ich erzielen – ich hab es geschafft das mein I-Explorer nicht immer die res://btive.dll/index.html#96676 als Startseite bringt. Ich habe einfach mal die Datei C:/Windows/btive.dll geöffnet – und da drin war dann z.B. u.a. auch ne ganze Latte an URL´s die mir jedes Mal diese Pop Up Fenster öffnen.
Also habe ich diese kpl. Datei leer gemacht (den kpl. Text gelöscht) – und habe sie wieder gespeichert. Zusätzlich habe ich sie noch auf schreibgeschützt gesetzt. Jetzt kann sich bei einer neuen Einwahl diese komische Startseite nicht einwählen. Jetzt kommt nur ein Seite mit Fehler Meldung. Naja – gebracht hat das nicht viel. Und die Pop Up Fenster kommen trotzdem. (z.B. bei google)

Wollte jetzt mal wissen ob das wirklich ein HiJacker ist. Damit ich weis in welche Richtung ich mich bewegen soll.

Gleich mal n fettes Danke – an die Leute die Antworten

Ich mach hier gleich mal den Save Log von Ad-Aware rein. Vielleicht kann da jemand was mit anfangen.

--------------------------

Logfile of HijackThis v1.97.7
Scan saved at 00:20:20, on 19.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\d3jb.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\iejh32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Programme\Plextor\PlexTool.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
I:\Internet_Downloads\Spy Software\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\btive.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://btive.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://btive.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\btive.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://btive.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\btive.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D81BF2B7-873B-AC2F-9073-634ABFBBED84} - C:\WINDOWS\d3lc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [d3nm32.exe] C:\WINDOWS\system32\d3nm32.exe
O4 - HKLM\..\Run: [winqm.exe] C:\WINDOWS\system32\winqm.exe
O4 - HKLM\..\Run: [iejh32.exe] C:\WINDOWS\iejh32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKLM\..\RunOnce: [d3jb.exe] C:\WINDOWS\system32\d3jb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: SchnapperPlus (HKLM)
O9 - Extra button: SchnapperPro (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FBAE862-19B4-4870-8DC2-4A78B99CC9DF}: NameServer = 217.237.151.161 194.25.2.129

[ 19. Juni 2004, 00:24: Beitrag editiert von: S.O.D ]

Na super [img]graemlins/koch.gif[/img] - nach fast 3 Std. Arbeit. Hat sich nix geändert. Ich habe im abgesicherten Modus den "eScan" gemacht. Habe den "Spy Bot S-D", "SpywareBlaste", "Ad-Aware 6", "HiJacke This", "Norton Anti Virus" und den "CWShredder" drüber laufen lassen. UND WAT IS - NIX !!!! :mad: alles so wie vorher. Die ganze res://btive.dll/index.html#96676 Kacke ist immer noch da.
Jedes Programm hat zwar Sachen gefunden und gelöscht - aber es geht trotzdem nicht. "eScan" hat z.B. 14 Viren gefunden die Norton nie gefunden hat - und auch die anderen Spy Tool haben ihren Dienst geleistet. WAS MACHE ICH FALSCH !!!!!!! [img]graemlins/headbang.gif[/img]

so - hier mal der Save Log von Hijaker (wie oben) - nach der ganzen Action

------------------------

Logfile of HijackThis v1.97.7
Scan saved at 02:03:56, on 19.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
I:\Internet_Downloads\Spy Software\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\btive.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://btive.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://btive.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\btive.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://btive.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\btive.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D81BF2B7-873B-AC2F-9073-634ABFBBED84} - C:\WINDOWS\d3lc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [winqm.exe] C:\WINDOWS\system32\winqm.exe
O4 - HKLM\..\Run: [iejh32.exe] C:\WINDOWS\iejh32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKLM\..\RunOnce: [d3jb.exe] C:\WINDOWS\system32\d3jb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: SchnapperPlus (HKLM)
O9 - Extra button: SchnapperPro (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Hallo S.O.D und Willkommen an Board,

ja, es sieht ganz danach aus, als wenn Dich auch dieser neue und aggressive Hijacker erwischt hat. :(

Mach bitte folgendes:

1.)
Geh mal in Systemsteuerung/Verwaltung/Dienste und schau ob es dort einen Dienst namens "Network Security Service" oder so ähnlich gibt. Wenn ja, mach einen Doppelklick auf den Dienst und schau was unter "Pfad zur exe-Datei" steht. Merke Dir diesen Dateinamen und beende und deaktiviere diesen Dienst.

2.)
eScan läßt sich mit einem 'kleinen Trick' sogar updaten. So braucht man eScan nicht bei jedem Update komplett herunterladen und hat immer die tagesaktuellen Signaturen von Kaspersky!

Mit Hilfe von Winzip, Winrar oder vergleichbar muss der Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpackt und dort dann die Datei kavupd.exe ausgeführt werden. In einer DOS-Box laufend werden die neusten Virensignaturen heruntergeladen. Dann kann mit msavscan.com gescannt werden (bitte jetzt aktualiseren aber erst später einsetzen!).

3.)
Starte den Rechner im abgesicherten Modus

4.)
Lösche die folgenden Dateien:
<blockquote>Zitat:<hr />C:\WINDOWS\btive.dll
C:\WINDOWS\d3lc.dll
C:\WINDOWS\system32\d3jb.exe
C:\WINDOWS\iejh32.exe
C:\WINDOWS\system32\winqm.exe
C:\WINDOWS\system32\d3nm32.exe[/QUOTE]Sollte sich die Datei C:\WINDOWS\d3lc.dll nicht löschen lassen, mach auch hier den 'Editor-Trick', also Datei leeren und schreibgeschützt speichern.

Starte dann HijackThis (wohlgemerkt immer noch im abgesicherten Modus!) Überprüfe mit einem Scan ob die o.g. Dateien wirdklich noch so heißen, ansonsten musst Du die neuen Dateinamen beim löschen und fixen verwenden!
Markiere folgende Zeilen:
<blockquote>Zitat:<hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\btive.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://btive.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://btive.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\btive.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://btive.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\btive.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {D81BF2B7-873B-AC2F-9073-634ABFBBED84} - C:\WINDOWS\d3lc.dll
O4 - HKLM\..\Run: [iejh32.exe] C:\WINDOWS\iejh32.exe
O4 - HKLM\..\RunOnce: [d3jb.exe] C:\WINDOWS\system32\d3jb.exe

Zitat:

O4 - HKLM\..\Run: [d3nm32.exe] C:\WINDOWS\system32\d3nm32.exe
O4 - HKLM\..\Run: [winqm.exe] C:\WINDOWS\system32\winqm.exe

Dann scanne mit dem aktualisierten eScan die ganze Festplatte und anschlißend kann es auch nicht schaden, wenn Du das gleiche auch noch mit Norton machst. Es müsste mindestens eine *.dat gefunden werden! Da Du Ad-aware uns Spybot S&D (ist das schon die neue Version 1.3?) hast, solltest Du diese auch gleich noch über den Rechner jagen. Ich denke, es versteht sich von selbst, dass alle Tools über die neuesten Signaturen verfügen sollten.

Eigentlich sollte es das gewesen sein. Viel Erfolg!

So – war jetzt im „normalen“ Windows Modus online – und habe alle Programm erst malgeupdatet

Das wäre :

• Ad-Aware 6.0 (Build 6.181.)
• Spy Bot 1.3
• SpywareBlaster 3.1
• eScan 4.2.4
• Hijack This (kan man ja nicht updaten – hab ich aber gestern aus Netz gezogen)

So – nun werde ich mal deine Anleitung folgen – und hoffen dass es klappt.

Erst mal Danke für die Hilfe

also es tut mir echt leid... ich habe die lösung doch schon gepostet ! wieso machen so viele einen neuen Thread auf und fragen trotzdem ?

http://www.trojaner-board.de/forum/u...c;f=6;t=005614

mfg nitro

@ nitro - bist du dir soooo sicher das deine Lösung für jedes HJT Problem angewandt werden kann ??

->> res://C:\WINDOWS\btive.dll/sp.html#96676
#96676 meine zahl [img]smile.gif[/img]

@ nitro - wie meinen ?

1000 DANK !!!!! - DIE SCHEISSE IST WEG - ICH KÖNNT VOR FREUDE HEULEN [img]graemlins/heulen.gif[/img] :D ;)

LUTZ DUE BIST MEIN HELD [img]graemlins/party.gif[/img] :cool: [img]graemlins/daumenhoch.gif[/img]

@S.O.D

mit Helden hab ich's nicht so, aber ich weiß, was Du meinst. Gern geschehen!

Schau mal noch in der Registry nach, ob Du diese Einträge findest:
<blockquote>Zitat:<hr />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_Service_3 [/QUOTE]Wenn ja, können die auch noch gelöscht werden.

<blockquote>Zitat:<hr />Original erstellt von Lutz:
@S.O.D

mit Helden hab ich's nicht so, aber ich weiß, was Du meinst. Gern geschehen!

Schau mal noch in der Registry nach, ob Du diese Einträge findest:
<blockquote>Zitat:<hr />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_Service_3 [/QUOTE]Wenn ja, können die auch noch gelöscht werden. [/QUOTE]Also
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3
War drin - hab ich gelöscht. den anderen
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_Service_3
hab ich ned gefunden.

edit:
hab den 2. doch gefunden - aber der läßt sich nicht löschen

[ 19. Juni 2004, 17:26: Beitrag editiert von: S.O.D ]

Schau mal bitte hier:
http://www.wilderssecurity.com/showp...2&postcount=26

Ganz am Ende ist eine cwsuninst.txt erwähnt. Lade die herunter und benenne sie um nach cwsuninst.reg.
Danach mit einem Doppelklick ausführen. Dadurch wird die Registry bereinigt. Wenn es so nicht geht, musst Du noch mal in den abgesicherten Modus.
Außerdem sind dort weitere Schadmöglichkeiten aufgezählt.

@Lutz
noch ein frage.

Oben hast du das geschrieben:
1.)
Geh mal in Systemsteuerung/Verwaltung/Dienste und schau ob es dort einen Dienst namens "Network Security Service" oder so ähnlich gibt. Wenn ja, mach einen Doppelklick auf den Dienst und schau was unter "Pfad zur exe-Datei" steht. Merke Dir diesen Dateinamen und beende und deaktiviere diesen Dienst.

warum sollte ich mir den Dateinamen merken ???

<blockquote>Zitat:<hr />Original erstellt von S.O.D:
@Lutz
noch ein frage.
warum sollte ich mir den Dateinamen merken ???
[/QUOTE]Sorry, das war das Ergebnis eines 'nicht zu Ende überlegten cut&paste' aus einer anderen Antwort von mir. In Deinem Fall wussten wir schon, welche exe-Datei sich hinter diesem Dienst verbirgt.
Wirklich wichtig ist das in den Fällen, in denen man noch nicht weiß, welcher -zufällig gewählte- Dateiname zu diesem Dienst gehört. Dann muss man sich diesen Dateinamen merken/aufschreiben, damit man den die Datei bei der Löschaktion auch erwischen kann.

aaaaahhhh ja –

Habe es jetzt auch geschafft den 2. RegKey zu löschen – da is im abgesicherten Modus am Anfang auch nicht ging - hab ich in den Eigenschaften des Keys die Rechte zum Löschen bzw. der Benutzung des Keys eingestellt - nach 2-3 mal rumprobieren war er dann weg. Hab mir dann nach dieser Reg Säuberung - auch gleich mal ne Backup davon gemacht.