Helios Lite gibt für Registry-Key "Acess Denied" aus und key lässt sich nicht löschen
 

für einen Registry-Key unter unter SOFTWARE\Classes\CLSID... gibt Helios Lite "Access Denied" aus und der Key lässt sich nicht (unter WIN XP) löschen.
Wie kann ich den Key, der der zweite Unterkey in einem Verzeichnis in der Registry ist löschen? Values o.ä. lassen sich nicht ermitteln, da der Key sich nicht öffnen lässt. Die Values der höheren Keys in dem Verzeichnis sind nicht gesetzt. Der Name des Keys besteht aus zufälligen Buchtsbane-und zeichenkombinationen (nicht googlebae).

(ich hoffe, der zweite Versuch einer Beschreibung ist besser gelungen)

Warum gehst Du auf Rootkit Jagd? Dann noch mit einem Programm das "steinalt" ist.

auf "Rootskit-Jagd" gehe ich nur als zusätzliche Sicherheitsmaßnahme zum Virensvcanner. Ist das falsch? Welches Programm hätte ich denn nehmen sollen?

Nicht falsch, aber merkwürdig (im Sinne des Wortes merkwürdig).
Helios wird halt nicht weiterentwickelt, dass ist der Tod eines jeden guten Programms das sich mit Sicherheitsrelevanten Abläufen befaßt.

Alternativen sind gmer, Blacklight (eingeschränkt) oder Avira Antirootkit.

Auch Avira gibt für SOFTWARE\Classes\CLSID\{757F58AC-056D-78F5-1369DDDE8D3DA057}\{8E7CB394-6DC8-952F-BBD65168C0AE0804}\{90FEEFF2-F058-330D-A5C639EBEDCEE7EE} einen "Hidden Value" aus, derselbe key bei dem helios "Access Denied" schrieb. Auch manuell lässt er sich wie gesagt nicht löschen. Was muß ich nun tun?

Poste bitte das komplette Avira Logfile. :)

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Mittwoch, 18. Juni 2008 - 14:18:00
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 149.04 GB
- Working disk free size : 138.42 GB (92 %)
--------------------------------------------------------------------------------------------------------

Results:
Value data mismatch : HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon -> parseautoexec
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{757F58AC-056D-78F5-1369DDDE8D3DA057}\{8E7CB394-6DC8-952F-BBD65168C0AE0804}\{90FEEFF2-F058-330D-A5C639EBEDCEE7EE} -> 526ba65zpqs4u365ynaellj5xa1

--------------------------------------------------------------------------------------------------------
Files: 0/48847
Registry items: 2/158019
Processes: 0/20
Scan time: 00:02:29
--------------------------------------------------------------------------------------------------------
Active processes:
- afaexmzq.exe (PID 1784) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 404)
- csrss.exe (PID 464)
- winlogon.exe (PID 496)
- services.exe (PID 540)
- lsass.exe (PID 552)
- svchost.exe (PID 876)
- svchost.exe (PID 956)
- svchost.exe (PID 984)
- vsmon.exe (PID 1024)
- spoolsv.exe (PID 1396)
- svchost.exe (PID 696)
- svchost.exe (PID 756)
- alg.exe (PID 1748)
- explorer.exe (PID 668)
- zlclient.exe (PID 1704)
- ctfmon.exe (PID 1204)
- firefox.exe (PID 1228)
- avirarkd.exe (PID 1972)
========================================================================================================
- Scan finished Mittwoch, 18. Juni 2008 - 14:20:30
========================================================================================================

Bitte erstelle noch ein HiJackThis Logfile wie beschrieben

zunächst einmal ein großes Danke für die schnellen Antworten!

und hier mein HiJack This- Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:49:30, on 19.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\[...]\Desktop\HiJackThis(2)\HijackThis.exe
C:\WINDOWS\System32\imapi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-746137067-329068152-725345543-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '[...]')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1199883031674
O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbycoms.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4103 bytes

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

unter dem URL gibt es keinen solchen Treiber, auch nicht versteckt.
Meinst Du vielleicht den gleichnamigen .dll-Treiber in

C:\WINDOWS\system32\spool\drivers\w32x86\lexmark_p910_series0bc6 ?

Sorry, mir hat eh das Leerzeichen einen Strich durch die Rechnung gemacht.
Ich sehe keinen Eintrag bei Dir, der auf Malware hinweist.
Ansonsten sehe ich auch nichts, außer wohl einen Kopierschutz. Spielst Du auf dem Rechner?

gar nicht. nur und ausschließlich textverarbeitung und einige sichere websites: ebay, spiegel, etc. der pc wird sehr wenig verwendet (der pc gehört meinem vater und mir ist der nicht löschbare key bei einer routinekontrolle aufgefallen).

Ich sehe in Deinen System kein Antivirenprogramm allerdings eine Firewall.
Meine Konfiguration sieht genau andersherum aus. Es kann durchaus sein, das der hidden value von Zone Alarm kommt.
Wenn Du der Sache weiter auf den Grund gehen willst, poste ein gmer Logfile.

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link

ich nutze tägliuch kaspersky online.

Kann man nichts gegen sagen, es kommt immer aufs Konzept an.
Allerdings bedenke, das das ein OnDemand Scan ist demgegenüber ein Guard stets aktiv über das System wacht. So kann er auch vor Site injections o.ä. schützen, denn auch sichere Seiten werden immer öfter missbraucht um Malware zu verteilen.

hier der gmer-log, aus dem ich ehrlich gesagt nicht gnaz schlau werde. Einiges Ist von Kaspersky, also dem Virenscanner, aber was sind die unteren "Threads"?

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-06-19 23:15:44
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.14 ----

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Threads - GMER 1.0.14 ----

Thread 4:116 821C88E0
Thread 4:120 821C88E0
Thread 4:124 821A18D0
Thread 4:128 821A18D0
Thread 4:132 821A18D0
Thread 4:364 821C88E0
Thread 4:816 821C88E0

---- EOF - GMER 1.0.14 ----

Also bei Dir ist alles ok. Die angeführten Threads gehören zu Kaspersky, genauso wie der hidden value auch.

Gmer Deinstallieren
Starte die Datei C:\WINDOWS\gmer_uninstall.cmd mit einem Doppelklick, starte nach dem ausführen den Rechner neu.

danke! danke! danke! :)

noch eine Nachfrage: muß ich die gmer_uninstall.cmd danach manuell löschen?

Ja musst Du. :)