Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: Viren/Trojaner: regedit deaktiviert

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 08.03.2009, 17:05   #1
wullxz
 
Viren/Trojaner: regedit deaktiviert - Standard

Viren/Trojaner: regedit deaktiviert



Hallo,

ich habe hier einen Rechner, der von ein paar Viren befallen ist.
Durch Avira Antivir habe ich diese gefunden:
DR/Agent.yna
TR/Agent.xge.1 bis 18 oder so
HTML/Crypted.Gen

Mein Problem ist, dass irgendetwas verbietet, die registry zu editieren, was dazu führt, dass HijackThis bestimmte Probleme nicht beseitigen kann.

Auffällig ist, dass XP Police Antivir auf dem Rechner ist und ein roter Kreis mit einem weißen Kreuz im Tray immer an Spyware auf dem Rechner erinnert.
Ein paar Probleme habe ich schon deaktiviert / beseitigt.

Ich hoffe, ihr könnt mir helfen, die restlichen Plagegeister auch noch zu entfernen.
Hier mein Hijack-log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:49, on 08.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\advpackr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\advpackr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O20 - AppInit_DLLs: interceptor.dll 
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOKUME~1\ADMINI~1.D-6\LOKALE~1\Temp\wndutl32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 5153 bytes
         
ntos.exe wurde von HJT als auffällig / gefährlich erkannt.
Deshalb habe ich es mit der Hilfe von Unlocker gelöscht (es wurde durch winlogon gesperrt), weil ich dachte, dass dieses Programm die Registry sperrt.

Außerdem habe ich versucht, mit folgendem VB-Script die Registry wieder freizuschalten:

Code:
ATTFilter
' ***************************************************
'
' VBScript generated by SystemScripter 5.0
' www.scriptinternals.de
'
' Author: Lutze
' Date:   Donnerstag, 15. Januar 2004, geändert 08.11.04
' Version: 1
'
' h**p://www.wintotal.de/Tipps/Eintrag.php?TID=177
'
' "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert"
' 
' (C) 2004 by Lutz Sterbies
'
' ***************************************************
Option Explicit
Dim frage
Dim WshShell 
 
Set WshShell = WScript.CreateObject("Wscript.Shell")
frage = MsgBox ("Script ausführen?",36 , "DisableRegistryTools") 

If frage = 6 Then  
On Error Resume Next
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\" _ 
& "Policies\System\DisableRegistryTools"

MsgBox "Sollte Regedit nach klicken auf ""OK"" nicht starten,"_
& " bitte das System rebooten!",64,"Starte Regedit"
WshShell.run "Regedit.exe"

Else 
MsgBox "Dann eben nicht!" ,64 , ":-(("
End If
         
Irgendwelche Ideen?

Alt 08.03.2009, 17:12   #2
Sunny
Administrator
> Competence Manager
 

Viren/Trojaner: regedit deaktiviert - Standard

Viren/Trojaner: regedit deaktiviert



Hallo wullxz und

Das System gilt als Kompromittiert, es nicht mehr vertrauenswürdig und es bedarf einer Neuinstallation!

Hier mal die schädlichsten Sachen auf dem System:

Zitat:
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\advpackr.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\advpackr.exe
Worm -> ADVPACKR.EXE, Prevx

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe
Trojan.Downloader (Dropper) -> Troj/Dloadr-AWQ Trojaner - Sophos Sicherheitsanalyse

O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOKUME~1\ADMINI~1.D-6\LOKALE~1\Temp\wndutl32.dll
Backdoortrojaner -> wndutl32.dll - Dangerous
Das die Registrierung deaktiviert wurde ist eine Sicherheitsmaßnahme des Trojaners um sich selbst zu schützen.

Hier hilft keine Bereinigung mehr, hier gilt nur noch das -> Neuinstallation!


Sunny
__________________

__________________

Alt 08.03.2009, 17:15   #3
wullxz
 
Viren/Trojaner: regedit deaktiviert - Standard

Viren/Trojaner: regedit deaktiviert



Ok, vielen Dank für deine Hilfe!
__________________

Antwort

Themen zu Viren/Trojaner: regedit deaktiviert
adobe, antivir, avira, bho, error, excel, explorer, gesperrt, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, locker, logfile, nicht starten, problem, regedit deaktiviert, registry, software, spyware, starten, system, temp, userinit.exe, viren, windows, windows xp



Ähnliche Themen: Viren/Trojaner: regedit deaktiviert


  1. Windows 7 Taskmanager und Regedit usw. deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 16.11.2014 (1)
  2. Internet extrem langsam, TaskMgr & RegEdit deaktiviert, Sicherheitscenter ebenso.
    Plagegeister aller Art und deren Bekämpfung - 09.07.2014 (13)
  3. Taskmanager , RegEdit sowie GPEdit.msc wurden von einem bösartigem Programm deaktiviert.
    Plagegeister aller Art und deren Bekämpfung - 18.06.2014 (1)
  4. Verdacht an Viren - McAfee deaktiviert Echtzeit-Scan sofort - Schon zuvor Hackangriffe erlitten
    Plagegeister aller Art und deren Bekämpfung - 25.06.2013 (6)
  5. Taskmgr.exe und Regedit.exe wurden vom Administrator deaktiviert.
    Log-Analyse und Auswertung - 01.05.2013 (15)
  6. Taskmanager, Regedit und Desktop deaktiviert
    Log-Analyse und Auswertung - 31.10.2012 (21)
  7. GVU Trojaner entfernt, Desktop, TaskManager und RegEdit noch deaktiviert.
    Plagegeister aller Art und deren Bekämpfung - 24.04.2012 (30)
  8. Plötzlich Taskmanager, Regedit, SecurityCentre deaktiviert - Trojaner ?
    Log-Analyse und Auswertung - 08.01.2011 (21)
  9. TaskManager und regedit waren deaktiviert.
    Alles rund um Windows - 26.12.2010 (1)
  10. taskmanager wurde durch den administrator deaktiviert, "regedit" läßt sich auch nicht starten
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (4)
  11. Viren Hijack.Regedit und Hijack.TaskManager: Wie beheben?
    Log-Analyse und Auswertung - 14.11.2010 (5)
  12. REGEDIT: Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert
    Log-Analyse und Auswertung - 14.06.2010 (6)
  13. REGEDIT--> Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert
    Log-Analyse und Auswertung - 06.11.2009 (18)
  14. Analyse - copy regedit.exe regedit.com
    Log-Analyse und Auswertung - 10.06.2009 (29)
  15. Virus eingefangen - Taskmgr und Regedit deaktiviert
    Log-Analyse und Auswertung - 07.08.2008 (15)
  16. mozilla extrem langsam geworden; durch regedit, alte viren oder wodurch? hilfe!
    Alles rund um Windows - 24.12.2007 (1)
  17. Trojan.Downloader JS - Anti-Viren-Programm/Firewall wird automatisch deaktiviert.
    Log-Analyse und Auswertung - 24.05.2007 (1)

Zum Thema Viren/Trojaner: regedit deaktiviert - Hallo, ich habe hier einen Rechner, der von ein paar Viren befallen ist. Durch Avira Antivir habe ich diese gefunden: DR/Agent.yna TR/Agent.xge.1 bis 18 oder so HTML/Crypted.Gen Mein Problem ist, - Viren/Trojaner: regedit deaktiviert...
Archiv
Du betrachtest: Viren/Trojaner: regedit deaktiviert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.