Jump to content
Sign in to follow this  
Werner Schmidl

Scheduler Dienst nach Virus

Recommended Posts

@Werner Schmidl

 

Ich habe bis jetzt noch nicht gesehen, das im angegebenen Verzeichnis EXE Dateien liegen !

Ausser Trojaner, Viren etc legen hier Ihre Dateien ab ! Nicht drauf reinfallen.

 

Schau mal in der Registrierung nach runonce und direkt darüber liegt run, was hier nicht einwandfrei aussieht rauswerfen ! -> z.B. Explorer.exe

 

Danach Neustart und dann sollte es gut sein.

Share this post


Link to post
Share on other sites

Hallo XP Fan,

 

danke für Deinen Beitrag.

Wenn man in den Diensten, Schedulerdienst auf Eigenschaften geht,

wird als Pfad " C:\Windows\help\explorer.exe angegeben.

Genau diese Datei wurde beim Löschen des Virus gelöscht!

 

 

Gruß

 

Werner

Share this post


Link to post
Share on other sites

Da steht aber normalerweise was anderes ...

C:\Windows\System32\svchost.exe -k netsvcs

Schau mal in der Registry unter

HKEYLOCALMACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/SCHEDULE

Was dort unter "Imagepath" steht ...

Dort sollte "%SystemRoot%\System32\svchost.exe -k netsvcs" stehen

Share this post


Link to post
Share on other sites

Hallo IThome,

 

zunächst vielen Dank für den Hinweis!

In der Registrierung steht genau der Eintrag wie Du geschrieben hast!

Auch unter RUN, siehe XP-Fan ist alles o.k.

Jedoch im Scheduler Dienst steht unter Eigenschaften die Pfadangabe

C:\Windows\help\explorer-exe!!!!!!!!!!!!!!

Dieses Verzeichnis kann man dort nicht ändern, obwohl es offensichtlich falsch ist.

Es muß aber doch irgendwo zu ändern sein????????????????

 

Sch.... IT!!!

 

 

Gruß

 

Werner

Share this post


Link to post
Share on other sites

Hallo IThome,

 

die Einstellungen in der Registrierung und in den Eigenschaften sind nur o.k.

Dennoch startet der Scheduler Dienst nicht.

Meldung nach dem Startversuch:

Zeitüberschreitung, Datei konnte nicht gefunden werden!

Im Fenster steht immer wird gestartet!

Die Datei svchost.exe ist vorhanden

Was nun??

Auf die Funktion des Servers hat es anscheinend keine Auswirkungen.

 

Hat ein bischen gedauert, da ich Skifahren war.

Share this post


Link to post
Share on other sites

Hallo IThome,

 

ich habe nachgesehen, die Datei ist vorhanden.

Ich habe aber noch folgendes festgestellt:

Der Dienst "NTLTU Bus Control" wird ebenfalls nicht gestartet, mit der Fehlermeldung

Ereignis 7000 kan Datei nicht finden. Die erforderliche Datei, die in den Eigenschaften

steht ist "NTDLTU.EXE" und fehlt tatsächlich im Verzeichnis SYSTEM32.

Auf einem Testserver bei mir gibt es diesen Dienst nicht oder lautet anders, so dass

ich die Datei NTDLTU.EXE auch nicht finden kann.

Was nun?????????????

 

Gruß

 

Werner

Share this post


Link to post
Share on other sites

Schau noch mal in der Registry unter

HKEYLOCALMACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/SCHEDULE/PARAMETERS

was dort unter

"ServiceDLL"

steht

Share this post


Link to post
Share on other sites

Hallo IThome,

ich habe nachgesehen, in der Registrierung steht: %SystemRoot%\Stystem32\schedsvc.dll.

Dies DLL ist auch in dem Verzeichnisvorhanden.

In der Ereignisanzeige kommt der "NTLTU Bus Control" Fehler vor dem Scheduler Fehler.

Hat der damit was zu tun?

 

Gruß

 

Werner

Share this post


Link to post
Share on other sites

NTLTU Bus Control ? Ist das ein Überbleibsel der Virenattacke ?

edit: scheint so, zumindest hab ich das hier gefunden ...

Zitat lists.virus.org

"They ran a script to kill the IIS process that was running, and place

theirs in its place. It then added itself to Windows Services under the

name "NTLTU Bus Control"."

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...