Hallo Leute, ich bin neu hier also wenn ich irgendwie was Falsch mache dann könnt ihrs ruhig sagen.

Ich habe vollgendes Problem:

Ich bekomme seit Samstag, wenn ich den taskmanager aufrufen will die fehlermeldung "Der taskmanager wurde durch den Administrator Deaktiviert". Um dies zu beheben hab ich im Internet recherchiert und erfahren das er mit hilfe eines registry schlüssels wieder aktiviert werden kann. Aber als ich auf die Regitry zugreifen wollte kam auch eine fehlermeldung "Das Bearbeiten der Registrierung wurde duch den Admnistrator deaktiviert". Mit einem Registry Tool konnte ich dann auf meine Regitry zugreifen und die erforderlichen schlüssel ändern aber leider hält das nur bis zum nächsten systemstart.

Nachdem ich dann mein system neu aufgesetzt hatte und nach über 6 Stunden einrichten und konfigurieren den taskmanager öffnen wollte kam die fehlermelung erneut. Nach weiterer recherche hab ich erfahren das man das im abgesichertem modus machen soll sodas er sich die regitry einträge merkt. hab davon zwar noch nie gehört und auch sonnst haben regitry einträge auch so ihre werte behalten aber ich wusste einfach nicht weiter.

Ich habe mein system nochmal neu aufgesetzt und nach jedem Update und nach jeder installation überprüft ob ich den Taskmanager noch öffnen kann. nach der installation von Office hat alles noch funktioniert aber nach der Installation von Adobe und deren updates ging es abermals nicht.

Also hab ich Adobe wieder deinstallaiert jedoch bleibt der fehler bestehn. Ich hab mir auch Scripte runtergeladen die die registry einträge ändern jedoch sind nach einem systemstart alle einstellungen wieder wie vorher.

Könnte ein windowsupdate an der situation schuld sein. Wie gesagt auser Office und Adobe hab ich nichts installiert.

Ich weis wirklich nicht mehr was ich tun soll. In einem anderen forum konnte mir nicht geholfen werden. Hat sich einfach keiner gemeldet.

Könnt ihr mir vlt Helfen? Ich bin echt ratlos...

Hi,

sowas ist mir nicht bekannt, das Adobe (was installierst Du von Adobe? Reader? Verson?) beides (RegEdit und TaskManager) abschaltet. Wohl aber das dies bestimmte Trojaner/Viren tun. Ist die SW von einer sauberen Quelle? Was für Antiviren-SW läuft bei Dir?
Wurde beim Neuaufsetzten der MBR neu geschrieben (Bootblockviren)?

chris

Ich hatte lange keine Firewall weil ich jedesmal nur genervt war. Al erstes vor Jahren anti vir das sich immer zu den unmöglichsten Zeite geupdatet und mir meine rechnerleistung gezogen hatt. Dann Zone Alarm welches immer jede software geblokt hat und wenn man vollbild hatt hat man das "Zugriff erlauben" fenster nicht gesehn und konnte nichts auswählen. Dann Norton was sich nicht komplett abschalten lies und mich mit seinen "Kompletten System"-Cheks nicht in ruhe gelassen hat. Desshalb war ich ein paar wochen ohne firewall unterwegs allerdings nie auf irgendwelchen "nicht- vertrauenswürdigen"-seiten.

der fehler ist mir lediglich nach dem installieren von Adobe Reader und photoshop 6 aufgefallen.

Da der 2 mal nach einer Neuinstallation auftrat nehm ich an das es irgendwas sein muss was sich entweder so stark ins system "einbrennt" das selbst eine komplette festplattenformatierung nicht hilft oder etwas das regelmäßig wieder eingeschleppt wird. Entweder von meiner externen festplatte auf der meine daten gesichert sind. Oder das Internet wenn ich meine Update ziehe.

Wenn irgendjemand irgendeine Idee, eine leise ahnung oder irgendwass weiswär es sehr freundlich mir das mitzuteilen. Ich nehm jeden strohhalm der mir gereicht wird.

Gruß
Suntu

Zitat:

Zitat von Suntu Rebusu

Entweder von meiner externen festplatte auf der meine daten gesichert sind.

Hallo Suntu Rebusu
Ich denke mal, das Problem liegt da dran, dass die Daten auf der externen FP sind. Hast du da nur Daten oder auch Programme drauf?
Also exe, ini, com, oder andere ausführbare Dateien drauf?
Mach doch mal ein HijackThis Log und poste es hier.

Ich kann mittlerweile eindeutig sagen das das Problem von der Festplatte her rührt. Als ich sie zum ersten mal an mein neu aufgesetztes Windows angeschlossen hatte bekam ich ne meldung das meine Firewall einstellung sich geändert hätten. Als ich dan taskmanager und regedit versucht hab zu öffnen kam das problem wieder. Das ist genau in dem moment aufgetreten als ich mich ein paar ordner in meiner externen festplatte bewegt habe.

Also brauch ich eine möglichkeit meine externe festplatte zu bereinigen da ich die Daten unmöglich löschen kann.

Auf der Festplatte befinden sich unschätzbar wertvole daten für mich. das geht über meine Komplette Musik, Vide und Bildersammlung bis hin zu Programmexen Informationen für meine Arbeit Schulungsunterlagen einfach alles was ich bei einem Kompletten systemcrash wieder brauche.

Du sagtest ich soll ein Log von Hijakthis machen. Ich hab das noch nie gemacht, wo finde ich das Programm und die Infos wie das geht?

Im moment bin ich viel Arbeiten und komme erst heute abend wieder. aber ich melde mich auf jeden fall nochmal.

Danke für eure Hilfe bisher. Hoffentlich kann ich das Problem mit eurer hilfe lösen.

Gruß

Suntu

PS: Im moment lass ich Kaspersky und Antivir über mein System und meine externe Festplatte laufen. Die meisten Funde heisen Virus.Win32.Sality.aa oder ähnlich. Sality is auf jeden fall immer mit im namen. Vlt Hilft euch das ja den fall besser einzuschätzen.

Edit:OK. hab den link in deinen Post gefunden ich glaub ich werd mich da erstmal reinlesen und melde mich wieder.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:14:25, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Avira\AntiVir PersonalEdition Classic\avcenter.exe
D:\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**pgo.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**pgo.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**pgo.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**pgo.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Kaspersky\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVP] "D:\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Kaspersky\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: D:\KASPER~1\mzvkbd.dll,D:\KASPER~1\mzvkbd3.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Kaspersky\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4412 bytes
         

Allerdings bin ich mir nicht sicher ob meine externe Festplatte mit einbezogen wurde da diese den Laufswerksbucstaben G hat.

So ich warte dann auf weitere anweiseungen ^^

Gruß

Suntu

Halli Hallo
Da hast du warscheinlich einen Trojaner, der mit der Autostart.ini verbreitet wird.
Deine Externe Platte wirst du damit wohl auch Formatieren müssen.
Dateien, die nicht ausführabr sind können noch gesichert werden. Dazu die Suchfunktion nutzen und die einzelnen Dateitypen auswählen (*.doc, *.mp3, *.xls usw.)
Das dein AVP nicht angesprungen ist, ist eigentlich ein sicheres Zeichen dafür, dass der Schädling neu ist und noch nicht gefunden wird. Oder hast du dein AVP auf der Externen und hast es erst installiert?

Ich hab Kaspersky und AntiVir nochmal neu installiert und ausgeführt.

AntiVir hat 141 dinge auf der Festplatte gefunden und gelöscht. Nachdem der erste Scan fertig war hab ich nochmal nen Scan gemacht bei dem kein Virus gefunden wurde. Nur das kam einmal


Der rest warn etwa 40 warnungen.

Ich bin mir nicht sicher wob nun der schädling wirklich entfern ist oder nicht. Kann ich noch was tun um die wahrscheinlichkeit zu verringern? Auch wenn ich wenigstens die nich ausführbaren dateien retten kann wäre eine Formatierung ein großer verlust.

Muss jetzt auf arbeit bis heute Abend.

Gruß

Suntu

Zitat:

Zitat von Suntu Rebusu

Auch wenn ich wenigstens die nich ausführbaren dateien retten kann wäre eine Formatierung ein großer verlust.

Die Funde waren aller auf der Externen? Und ja, die Externe muss formatiert werden. Es ist nicht bekannt, ob andere ausführbare Dateien verändert wurden.
Programme, die man aus dem Netz herunterläd sollte man als Passwortgeschützte ZIP oder RAR Datei speichern aber nur von einer sicheren Seite herunter laden..

Hmm wenn das wirklich so ist werd ich mir nen kopf machen wo ich die ganzen Programm nochmal her bekomme. OK ich werd das versuchen. Wenn nochmal was schief geht meld ich mich in dem Thread wieder.

Danke nochmal für alles

Gruß

Suntu