Löschen von Registry-Einträgen

Nachdem ich den Dienst "Oreans32" wegen Trojanerbefall in der Registry
entfernt habe,
stellte ich fest, dass ein Eintrag "LEGACY_OREANS32" noch dreimal dort
verblieb und
sich auch nicht löschen ließ ("Schlüssel kann nicht gelöscht werden" wird
angezeigt).
Die Zeilen in der Registry lauten:
HKEY_LOKAL_MACHINE
System
CurrentControlSet
Control
Enum
Root
LEGACY_OREANS32
der gleiche Eintrag nochmals unter
.....
.....
ControlSet001 und
ControlSet002
Die befallene Treiberdatei oreans32.sys im Windowsverzeichnis
system32\driver wurde
natürlich auch entfernt. Ich benutze als Betriebssystem Windows XP SP 3 mit
allen updates.
Der Trojaner ist zwar nun gelöscht und wird auch nicht mehr angezeigt, aber
ich möchte auch
den Rest der Infizierung aus der Registry entfernen. Wer kann mir helfen?
Danke im Voraus!

Dieter Albrecht schrieb:
dass ein Eintrag "LEGACY_OREANS32" noch dreimal dort
verblieb und sich auch nicht löschen ließ

Rechtsklick, Berechtigungen.
Hinzufügen -- Benutzername -- Vollzugriff.

Der Trojaner ist zwar nun gelöscht und wird auch nicht mehr angezeigt,
aber ich möchte auch den Rest der Infizierung aus der Registry
entfernen.

http://www.microsoft.com/germany/tec...es/600574.mspx

Gruß

Hermann

"Dieter Albrecht" schrieb:
Newsbeitrag ...

Nachdem ich den Dienst "Oreans32" wegen Trojanerbefall in der Registry
entfernt habe, stellte ich fest, dass ein Eintrag "LEGACY_OREANS32" noch
dreimal dort verblieb und sich auch nicht löschen ließ ("Schlüssel kann nicht
gelöscht werden" wird angezeigt).

Wenn du einen Rechtsklick auf den Schlüssel (im linken Feld) machst,
und unter Berechtigungen den Vollzugriff wählst, müsste es gehen. An
deiner Stelle würde ich aber wichtige Daten sichern, und den Rechner
neu aufsetzen. Du weisst sicher, warum ;-)

Heinz
--
Die Summe aller Laster ist eine Konstante.

Dieter Albrecht schrieb:

Nachdem ich den Dienst "Oreans32" wegen Trojanerbefall in der Registry
entfernt habe,
stellte ich fest, dass ein Eintrag "LEGACY_OREANS32" noch dreimal dort
verblieb und
sich auch nicht löschen ließ ("Schlüssel kann nicht gelöscht werden" wird
angezeigt).

Boote mit einer Bart-Boot-CD und lade daraus die Registry. Stichwort
Die Windows-Registry bearbeiten:
http://pcwelt-wiki.de/wiki/Bart_PE_Builder

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

"Dieter Albrecht" schrieb:

Nachdem ich den Dienst "Oreans32" wegen Trojanerbefall in der Registry
entfernt habe,

Hast Du auch ALLE sonstigen Aenderungen in Deinem System, inklusive der
von den vom Trojaner nachgeladenen Schaedlingen vorgenommenen,
gefunden und rueckgaengig gemacht? Falls nein: NEUINSTALLATION!

Zudem: wie konnte sich ein Trojaner ueberhaupt einnisten und einen
Dienst installieren? Letzteres erfordert administrative Rechte!
Falls Du staendig als Administrator "arbeitest": das ist Dein primaerer
Fehler!
Richte Dir nach der Neuinstallation ein Konto als "Eingeschraenkter
Benutzer" ein und verwende ausschliesslich dieses zum Arbeiten.
Der Administrator ist NUR fuer administrative Aufgaben da.

Falls Du nicht staendig als Administrator arbeitest: wieso konnte der
Trojaner ueberhaupt ausgefuehrt werden, UND sich administrative Rechte
beschaffen? Beides setzt Fehler in Deinem Sicherheitskonzept voraus!
Hole Dir nach der Neuinstallation Deines Windows XP das Skript
http://home.arcor.de/skanthak/download/XP_SAFER.INF
und "installiere" es per Rechtsklick. Nach Neustart des Systems
koennen unter Normalbenutzerkonten ohne administrative Rechte keine
schaedlichen Programme mehr ausgefuehrt werden!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)