DIE Registry!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Guten Abend allerseits!


    Ich wollte gerade meine Registry öffnen und nach 3 Sekunden schloss sie wieder! Was kann ich machen, damit sie da bleibt und nicht verschwindet!


    Danke schonmal und Gruß


    Sebastian

    Ach cyberman41,
    wieder mal Wurm oder Trojaner. Hatten wir doch schon mal, oder irre/verwechsele ich Dich jetzt? Wenn ja dann sorry.
    1.)
    WinUpdate aufsuchen und checken ob Du auf dem neuesten Stand bist.
    2.)
    >>>Hier klicken<<< die Tools 2-5 runterladen und Hijack This als Letztes laufen lassen beim Systemstart. Am besten per Verküpfung im Autostart.
    3.)
    Eine Logdatei erzeugen mit Highjack und >>>hier auswerten lassen<<<.



    Nichts fixen, da alles angezeigt und auch bei der Auswertung die guten bemängelt /angezeigt werden... sondern erst...


    4.)
    Die Logdatei und die Auswertung dann hier reinkopieren. Wir haben hier im Board zumindest 2 User die ganz scharf auf solche Logs sind. :twisted:

    hope dies last


    tschöö... ast

    Ich habe soweit alles gemacht, aber das Problem besteht weiterhin! Na gt ich poste erstmal die Log. Datei!


    Logfile of HijackThis v1.98.0
    Scan saved at 22:05:24, on 29.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\WINDOWS\System32\CRSS.EXE
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
    C:\Programme\TVgenial\TVgenial.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\WinAce\WinAce.exe
    C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\~AceTemp\hijackthis198\HijackThis.exe


    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [Wupdate driver] CRSS.EXE
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
    O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - HKCU\..\RunOnce: [Wupdate driver] CRSS.EXE
    O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B9492EC9-93B6-43FF-BC7B-1DEF979874DD}: NameServer = 217.9.42.98 217.9.47.254


    Mal sehen was man da machen kann.


    Gruß Sebastian

    Bin zwar keiner der 2 User, aber für ne Schnelldiagnose kann ich mich mal versuchen.


    C:\WINDOWS\System32\CRSS.EXE


    Kein Win-Prozess, der heißt CSRSS.exe


    >>>Wird von diesen z.B. benutzt. Klick me.<<<

    Prozess beenden, Datei suchen und in Papierkorb verschieben.
    Oder fixen mit Hijack


    O4 - HKLM\..\Run: [Wupdate driver] CRSS.EXE
    Fixen
    O4 - HKCU\..\RunOnce: [Wupdate driver] CRSS.EXE
    Fixen


    O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
    Brauchst Du den Pager? Ansonsten Fixen



    O17 - HKLM\System\CCS\Services\Tcpip\..\{B9492EC9-93B6-43FF-BC7B-1DEF979874DD}: NameServer = 217.9.42.98 217.9.47.254


    Deine Berlikom IPs falls er das anmeckert nicht Fixen.


    Ansonsten zwar nichts Böses, aber einige überflüssige Einträge gesehn.


    Macht aber nix, außer den Start etwas zu verzögern und das Sys etwas stärker zu belasten.

    hope dies last


    tschöö... ast

    Essatamente Du oller Modisuri. :twisted::twisted::twisted:


    Du bist der eine! Die Searchmachine is ja wohl in Urlaub, oder?

    hope dies last


    tschöö... ast

    Noch wat...den Link hatt ich oben schon gesetzt. :lol: :lol: :lol:


    Jaja is noch früh am Morgen. :twisted:

    hope dies last


    tschöö... ast

    Ach Gottchen, dann geh ich jetz ma pennen...
    Sonst verpeile ich noch, wie das geht.


    Nichts für ungut und ein guts Nächtle.


    Freddie


    Edit by me :lol:


    Dito Freddie.


    ast

    Damit erklären wir zu Recht das Gute zu dem, wonach alles strebt. (Aristoteles)

    Moin,


    ich habe jetzt im Taskmanager den Prozess Crss.exe beendet und jetzt geht die Registry wieder. Doch ich finde den Ordner nicht!


    Gruß Sebastian

    Im Explorer alle Dateien/Ordner auf angezeigt gestellt?


    In der Suche in den erweiterten Option die ersten 3 Haken gesetzt?


    Wenn der Prozess im Taskmanager lief, ist auch irgendwo noch die Datei vorhanden.