Shutdown.exe funktioniert nicht - regedit.exe (Prozess) schuld?

[martin_F2000 10]

Hallo ihrs,

 

nachdem ich schon längere Zeit nicht mehr hier vorbei geschaut habe, plagt mich ein kleines Problem:

Wenn ich den Rechner eines Freundes herunterfahren möchte, klappt das nicht. Es passiert schlicht weg nichts. Also hab ich mir mal die laufenden Prozesse anschaut und folgendes festgestellt. Es läuft immer der Prozess "regedit.exe". Beende ich den, startet er sich sofort wieder neu. Beenden ich den Prozess erneut, bleibt er weg und Windows lässt sich herunterfahren.

 

An was kann das liegen? Wurm? Trojaner? Virus?

 

VG und Danke

Martin

 

PS: Windows XP Pro SP1, komplett gepatcht!

[Squire 214]

Hi,

 

also Regedit läuft normalerweise nur wenn es aufgerufen wurde .. auf keinen Fall dauernd ... Lass mall hijackthis drüberlaufen

[martin_F2000 10]

das hat mich auch gewundert. Ich werde das Tool mal drüber lassen!

[mtopp 10]

Hi,

hört sich doch verdächtig nach einem Virus an.....

 

sowas findet am über GOOGLE dazu:

 

W32.Brid.A@mm erzeugt zudem die folgenden Dateien:

%system%\Bride.exe

%system%\Msconfig.exe

%system%\Regedit.exe

 

HINWEIS: %system% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich als %system%\Regedit.exe dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).

[*Cat* 19]

unter xp befindet die sich unter C:\Windows

hab hier nen frischen rechner ^^ nur mal so

 

besorg dir mal die msconfig für w2k und schmeiß das ding ausm systemstart

[martin_F2000 10]

ich schau mir das mal an... wer noch eine Idee hat, bin für alle Infos dankbar

 

VG Martin

[Finanzamt 73]

Hi!

Ich würd erstmal die Regedit.exe löschen. Die gibt es m.W. nur aus Kompatibilitätsgründen zur 9x-Serie (Google "regedit.exe" plus "regedt32.exe"). NT ff. haben die Regedt32.exe in ...\system32. Vergleichswerte: Regedit.exe (153.600 Byte, 04.08.2004, 00:58 [XP], 76.560 Byte, 19.06.2003, 12:05 [W2K] - jeweils aktuelle ServicePacks).

Dann schau Dir an, welche Progs mit den diversen Startoptionen (Run, RunOnce, Autostart) und in den Diensten (Computerverwaltung->Dienste) gestartet werden. Alles, was die Regedit.exe startet, kann deaktiviert bzw. gelöscht werden.

mtopps Hinweis würd ich mit einem aktuellen Scanner nachgehen. Übrigens: %System%, so es denn als Variable gesetzt ist, ist nicht auf Windows zurückzuführen. Die NT-Familie kennt %SystemDrive% (also C:, D:, ...) und %SystemRoot% (WinNt, Windows bzw. den bei der Installation angegebenen Ordner). Wenn %System% bei Dir existieren sollte, wäre das auch ein Nachforschen wert (Check: Konsole starten, SET SYSTEM eintippen).

Gegrüßt!

[mtopp 10]

@Cat: jooo sorry.... stimmt wohl.

 

@Finanzamt: in der RunOnce wird wohl kaum was liegen.... ;) (nach dem starten)

[Das Urmel 10]

Windows XP Pro SP1, komplett gepatcht!

Für mein Verständnis ist das nicht komplett gepatcht.

[martin_F2000 10]

@ Das Urmel: Außer das kein SP2 drauf ist, ist das System komplett gepatcht. Ich hab das aber mit Absicht nicht installiert.

@Finanzamt: Auch unter XP gibt es noch die regedit.exe im Ordner C:\Windows und diese startet auch den Registrierungseditor.

 

@all: Das interessante daran ist, dass weder im Regedit noch in dem Autostartordner noch in der msconfig ein derartiger Eintrag zu finden ist. Es ist als ob sich der Dienst von Geisterhand startet.

 

Irgendwelche Ideen noch. Ich werd mal die Demoversion des Security Task Manager installieren und schauen, ob es sich um die Microsoft signierte Version handelt oder nicht!

 

VG Martin

[Das Urmel 10]

Außer das kein SP2 drauf ist, ist das System komplett gepatcht

Das kannst du wohl knicken?

 

Es ist als ob sich der Dienst von Geisterhand startet.

Regedit ist kein Dienst, war nie einer und wird auch keiner werden. :suspect:

 

Wie wäre es mal mit trivialen Dingen wie msconfig nachzuschauen - ausserdem steht dir der Explorer zur Verfügung - Eigenschaften (Version) Regedit.exe.

 

Ansonsten möchtest du dir mal Autoruns von Sysinternals ansehen - das wird dir sicher die Augen öffnen.

[martin_F2000 10]

Thema sollte hier ja nun nicht sein, ob ich SP1 installiere oder nicht.

Und in den Systemstart der msconfig habe ich geschaut. <Wer lesen kann ist klar im Vorteil>

Autoruns von Sysinternals werde ich mir mal anschauen. Vielleicht bringt das ja was.

[*Cat* 19]

Thema sollte hier ja nun nicht sein, ob ich SP1 installiere oder nicht.

Und in den Systemstart der msconfig habe ich geschaut. <Wer lesen kann ist klar im Vorteil>

richtig das urmel sprach auch von SP2, aber wer lesen kann ist auch da klar im vorteil :D

[martin_F2000 10]

Stimmt hast nicht ganz Unrecht. nat. meine ich SP2. also wenn dann schon:

<Wer schreiben kann, ist klar im Vorteil>

[*Cat* 19]

Off-Topic:
abgesehen davon dass deine schreibprobleme ja nicht unser prob sind ... ;)
nicht übel nehmen, ich konnt nicht wiederstehen, bei den vorlagen :D

der security task manager wird dir imho keine große hilfe sein,
der ist praktisch um verseuchte prozesse zu finden und zu killen, wenn der eigene taskmanager nicht mehr geht, aber auch da nicht zielsicher genug,
siehe da dein virescanner wird zu 98% böse sein

was passiert denn, wenn du regedit wirklich startest?
hast du dann zwei regedits im taskmanager?

lg Cat