Scheduler Dienst nach Virus

[Werner Schmidl 10]

Nach der Entfernung eines Virus fehlt die Datei Explorer.exe im

Verzeichnis Windows\help unter WIN 2003 SBS.

Der Scheduler Dienst kann nicht mehr gestartet werden.

 

Werner

[XP-Fan 234]

@Werner Schmidl

 

Ich habe bis jetzt noch nicht gesehen, das im angegebenen Verzeichnis EXE Dateien liegen !

Ausser Trojaner, Viren etc legen hier Ihre Dateien ab ! Nicht drauf reinfallen.

 

Schau mal in der Registrierung nach runonce und direkt darüber liegt run, was hier nicht einwandfrei aussieht rauswerfen ! -> z.B. Explorer.exe

 

Danach Neustart und dann sollte es gut sein.

[Werner Schmidl 10]

Hallo XP Fan,

 

danke für Deinen Beitrag.

Wenn man in den Diensten, Schedulerdienst auf Eigenschaften geht,

wird als Pfad " C:\Windows\help\explorer.exe angegeben.

Genau diese Datei wurde beim Löschen des Virus gelöscht!

 

 

Gruß

 

Werner

[IThome 10]

Da steht aber normalerweise was anderes ...

C:\Windows\System32\svchost.exe -k netsvcs

Schau mal in der Registry unter

HKEYLOCALMACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/SCHEDULE

Was dort unter "Imagepath" steht ...

Dort sollte "%SystemRoot%\System32\svchost.exe -k netsvcs" stehen

[Werner Schmidl 10]

Hallo IThome,

 

zunächst vielen Dank für den Hinweis!

In der Registrierung steht genau der Eintrag wie Du geschrieben hast!

Auch unter RUN, siehe XP-Fan ist alles o.k.

Jedoch im Scheduler Dienst steht unter Eigenschaften die Pfadangabe

C:\Windows\help\explorer-exe!!!!!!!!!!!!!!

Dieses Verzeichnis kann man dort nicht ändern, obwohl es offensichtlich falsch ist.

Es muß aber doch irgendwo zu ändern sein????????????????

 

Sch.... IT!!!

 

 

Gruß

 

Werner

[IThome 10]

Lösche den gesamten Wert und erstelle ihn neu, was passiert ?

Suche in der Registry nach dem falschen wert ...

Ich bin nicht Sch... ! :D

[Werner Schmidl 10]

Entschuldige, damit habe ich die Technik gemeint.

Vielen Dank einstweilen, komme erst nächste Woche zu dem Server,

melde mich dann wieder!!!

 

Danke

 

Werner

[IThome 10]

War nur Spass ... ;)

[Werner Schmidl 10]

Hallo IThome,

 

die Einstellungen in der Registrierung und in den Eigenschaften sind nur o.k.

Dennoch startet der Scheduler Dienst nicht.

Meldung nach dem Startversuch:

Zeitüberschreitung, Datei konnte nicht gefunden werden!

Im Fenster steht immer wird gestartet!

Die Datei svchost.exe ist vorhanden

Was nun??

Auf die Funktion des Servers hat es anscheinend keine Auswirkungen.

 

Hat ein bischen gedauert, da ich Skifahren war.

[IThome 10]

Existiert die schedsvc.dll ?

[Werner Schmidl 10]

Hallo IThome , danke für die schnelle Nachricht,

schaue morgen nach!

Der Server steht bei einem Kunden.

 

Gruß

 

Werner

[Werner Schmidl 10]

Hallo IThome,

 

ich habe nachgesehen, die Datei ist vorhanden.

Ich habe aber noch folgendes festgestellt:

Der Dienst "NTLTU Bus Control" wird ebenfalls nicht gestartet, mit der Fehlermeldung

Ereignis 7000 kan Datei nicht finden. Die erforderliche Datei, die in den Eigenschaften

steht ist "NTDLTU.EXE" und fehlt tatsächlich im Verzeichnis SYSTEM32.

Auf einem Testserver bei mir gibt es diesen Dienst nicht oder lautet anders, so dass

ich die Datei NTDLTU.EXE auch nicht finden kann.

Was nun?????????????

 

Gruß

 

Werner

[IThome 10]

Schau noch mal in der Registry unter

HKEYLOCALMACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/SCHEDULE/PARAMETERS

was dort unter

"ServiceDLL"

steht

[Werner Schmidl 10]

Hallo IThome,

ich habe nachgesehen, in der Registrierung steht: %SystemRoot%\Stystem32\schedsvc.dll.

Dies DLL ist auch in dem Verzeichnisvorhanden.

In der Ereignisanzeige kommt der "NTLTU Bus Control" Fehler vor dem Scheduler Fehler.

Hat der damit was zu tun?

 

Gruß

 

Werner

[IThome 10]

NTLTU Bus Control ? Ist das ein Überbleibsel der Virenattacke ?

edit: scheint so, zumindest hab ich das hier gefunden ...

Zitat lists.virus.org

"They ran a script to kill the IIS process that was running, and place

theirs in its place. It then added itself to Windows Services under the

name "NTLTU Bus Control"."