emisisoft emergency / setting.disabletaskmgr(A),..registrytools(A)

[sChoedi]

hi,

die software "emisisoft emergency" findet bei jedem scan diese 2 registry einträge.

- setting.disabletaskmgr(A)
- setting.disableregistrytools(A)

wirkliche antworten konnte ich über google nicht finden.


weiss jemand was das ist?
ist es eine fehlermeldung?

mfg, sChoedi

 

[chrigu]

notfall-tool?

was ist den passiert, dass du dieses tool gestartet hast?

was zeigt malwarebytes an (nicht die pro version)

 

[sChoedi]

nichts ist passiert, war einfach ein "test-scann".... da ich wissen wollte, ob diese 2 dateien immer noch angezeigt werden.

ich lasse malwarebytes noch einmal laufen.

Warum schreibst du in klammern "nicht die pro version"?

macht das einen unterscheid?

Ergänzung (18. März 2014)

malwarebytes zeigt nichts an

 

[okni]

@chrigu meinte damit bestimmt, das du Malwarebytes nur als Freeversion installieren sollst damit der Echtzeitschutz nicht mitinstalliert wird, da das zu Problemen mit dem Standard AV-Programm kommen kann.

Und wenn Malwarebytes keine Funde anzeigt, scheint alles gut zu sein, du kannst aber wenn du willst zur Sicherheit noch einmal ein Scann mit der Kaspersky Rescue-Disk machen.

 

[SEL33]

@TE

Laut Trojaner-Board kannst du diese Funde wohl löschen:

http://www.trojaner-board.de/149765-schon-3-funde-emsisoft-adware-win32-adlop.html

 

[sChoedi]

okay, dann lösch ich die funde mal,.... das komische ist eben, dass ich die schon 2 mal gelöscht habe und sie immer wieder kommen!!

und danke, die Kaspersky Rescue-Disk werd ich mir mal ansehen.

 

[purzelbär]

Da es wohl Adware ist wie ich Trojaner Board gelesen habe, kannst du auch mal zusätzlich dein System nacheinander mit Malwarebytes Free Vollständige Überprüfung(in den Suchlaufeinstellungen die Option marlieren das PUP Funde zum entfernen mitmarkiert werden), AdwCleaner und Junkware Removal Tool überprüfen/säubern. Die 3 Tools findest du in meiner Signatur.

 

[sChoedi]

okay... adwcleaner findet:

einen ordner: .../appdata/local/temp/ocs

und 2 regeinträge:

hkcu/software/ocs
hkcu64/software/ocs

 

[okni]

Hast du auch mal mit der Kaspersky Rescue-Disk einen Scann gemacht, und wenn ja wurde etwas gefunden.?

 

[sChoedi]

hab ich,...
"Untersuchung von Objekten: wurde abgeschlossen vor weniger als einer Minute (Ereignis: 2, Objekte: 1032149, Zeit: 00:42:00)
18.03.14 14:17 Aufgabe wurde abgeschlossen
18.03.14 13:35 Aufgabe wurde gestartet "

mir wurde allerdings nichts nach dem scann angezeit, .... das "ereignis: 2", heisst ja wohl, dass 2 daten gefunden wurden oder?

wo findet man denn genaueres? unter "results in dem ordner der erstellt wurde sind nur *.dat, und *.idx dateien.

 

[Randy89]

Nein, "Ereignis: 2" bezieht sich auf die Anzahl der dokumentierten Ereignisse, also in dem Fall dass um 13:35 Uhr die Aufgabe gestartet wurde und um 14:17 Uhr die Aufgabe beendet worden ist.
Die Dateien kannst du evtl. per Rechtsklick mit dem Editor/Notepad anschauen. Kann sein, dass wegen der Codierung bei den meisten Sachen nur ein Wirrwarr steht.
Außerdem: Wenn Dateien angezeigt gewesen wären, dann hätte sich das Fenster spätestens nach dem Scannen rot gefärbt, es wär in dem Log als zusätzliches Ereignis/zusätzliche Ereignisse vermerkt und es würde die "detected.idx"/"detected.rpt"-Dateien im "Report" Ordner geben.

edit: Man könnte noch rkill ausprobieren, siehe:
http://www.bleepingcomputer.com/forums/t/525951/did-a-scan-with-emsisoft-emergency-kit-found-issues/
und wenn selbst der unmittelbar darauffolgende Malwarebytes-Scan nichts finden sollte, dann evtl. noch die FRST-Logs posten, siehe: [Anleitung] Erste H!lfe bei Malwareverdacht/-infektion - Vor dem Posten beachten!

 

[okni]

Wie Randy schon schrieb, wenn nach dem Scann kein Warnfenster mit Funden die dort aufgelistet sind kam müsste alles sauber sein.

 

[Randy89]

Und wenn einer kommt, kann man auch versuchen, es als false positive zu melden.
Allerdings würd ich zumindest den Rkill-Report+darauffolgenden MBAM-Bericht+FRST-Logs abwarten...

 

[sChoedi]

hab alle berichte da.

danke für den tipp.

hab die programme jetzt mal laufen lassen.

mir ist nichts auffälliges aufgefallen.

haben sich beschwert, dass "defender aus ist" und haben "2 dienste gestoppt". (hab den defender jetzt mal gestartet!)


Checking for processes to terminate:

* C:\Windows\system\HsMgr64.exe (PID: 2268) [WD-HEUR]
* C:\Windows\SysWOW64\HsMgr.exe (PID: 2308) [WD-HEUR]



==================== Disabled items from MSCONFIG ==============

MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^iSCTsysTray.lnk => C:\Windows\pss\iSCTsysTray.lnk.CommonStartup
MSCONFIG\startupreg: ShadowPlay => C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart

aber die berichte sind ungeübt auch ganz schön unübersichtlich, aber denke ist alles okay

 

[sChoedi]

naja,

- setting.disabletaskmgr(A)
- setting.disableregistrytools(A)

wurde schon wieder gefunden.


hab die reg-einträge jetzt mal angeschaut, sie sind beide auf "0".

scheinbar gibt es ein programm bei mir, dass diese einträge erstellt.