Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Defense Center, nach Entfernen lassen sich Programme nicht mehr starten (https://www.trojaner-board.de/90047-defense-center-entfernen-lassen-programme-mehr-starten.html)

balou418 26.08.2010 23:08
Defense Center, nach Entfernen lassen sich Programme nicht mehr starten
 
OK, mein erstes MAl hier und ich hoffe, dass ich mein Problem verständlich rüberbringen kann. Ist etwas langwierig.
Ich bearbeite gerade einen Laptop von Samsung R60 Plus mit Windows Vista Home Premium infiziert mit einem Programm namens Defense Center. Um diesem Programm den Garaus zu machen, habe ich den Rechner mit einer aktuellen Version der Avira Rescue CD gebootet. Das erste Problem, was dabei auftauchte, war, dass die graphische Oberfläche nicht gestartet werden konnte (habe alle Modi ausprobiert, keiner ging). Nachdem ich bei Avira nach einer Lösung gesucht habe, hat mir jemand gesagt ich solle über die Kommandozeile den Scan starten. Habe ich auch gemacht und die Dateien von Defense Center wurden auch gefunden und gelöscht (kam zumindest die Meldung). Zunächst schien auch alles in Ordnung, der Rechner fuhr normal hoch, ich konnte mich normal einloggen und es kamen auch keine Warnungen mehr bezüglich DefenseCenter.
Das erste Problem tauchte dann aber auf, als ich Avira Antivir installieren wollte. Zunächst kam wie gewohnt die Abfrage, ob ich die Datei ausführen möchte. Hab ich wie gewohnt gemacht. Danach kam der Dialog Öffnen mit und die Abfrage, mit welchem Programm ich diese Datei öffnen möchte. Das geht mit allen Applikationen so, sei es INternet Explorer, Word o. ä.
Ich habe dann einen neuen User mit Adminrechten angelegt, um zu sehen, ob dann das gleiche passiert. Unter dem neuen User kann ich jetzt zwar Programme problemlos starten, aber die Installationen funktionieren nicht. Avira startet zwar und entpackt, danach läuft aber nur noch 'Die INstallation wird vorbereitet' und nach einiger Zeit kommt eine Meldung, dass Antivir nicht installiert werden kann, da z. B. gerade ein Windows Update laufen könnte. Ich habe dann den Rechner im abgesicherten Modus mit Netzwerkfreigabe gestartet und versucht ein Windows- Update zu machen, was aber leider auch fehlgeschlagen ist. Versuche, andere Programme zu installieren, schlagen ebenfalls fehl.
Last but not least war ich dann soweit, dass ich mit der Samsung Recovery Solution II das System wiederherstellen wollte. Musste aber leider feststellen, dass das auch nicht funktioniert, da der Rechner nicht im Wiederherstellungsmodus hochfährt.
So bin ich dann hier gelandet, weil ich keine Idee mehr habe, was ich noch machen könnte. Da ich hier dann festgestellt habe, dass HijackThis- Log- Files gerne gesehen werden, habe ich zum Schluss das auch noch versucht, aber leider startet das Programm zwar, bricht aber nach kurzer Zeit mit dem Hinweis ab, dass ich das als Administrator starten soll. Leider bekomme ich mit der rechten Maustaste die Option 'als Administrator ausführen' nicht angezeigt.
Also dann, ich hoffe, Ihr könnt mir helfen.

cosinus 27.08.2010 11:50
Hast Du keine Recovery-Medien gebrannt? Es liest so so raus, dass Du mit Deiner Entfernung das System geschrottet hast. Lässt sich überhaupt noch was starten bzw. installieren?

balou418 27.08.2010 15:02
Da das nicht mein Rechner ist, prüfe ich gerade, ob der eigentliche Besitzer sich die Recovery- Daten runtergezogen hat. So wie das System aussieht, befürchte ich eher nicht.
Wie gesagt, unter dem ursprünglich angelegten User kann ich keine Programme starten, außer dem Explorer, Taskmanager und der Systemsteuerung. Alle anderen Programme wollen ein Programm, mit dem ich es öffnen soll.
Der neu angelegte User kann Programme öffnen, aber ich kann keine Installationen machen. Diese brechen je nach Programm mit Fehlermeldungen ab.
Bei der Fehlerrecherche habe ich einen Eintrag gefunden, wonach es möglich sein soll, dass in der Registry fehlerhafte Einträge sind. Es ging um folgende Einträge:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
Der richtige Eintrag soll "%1" %* sein.
Leider kann ich die regedit.exe ja unter dem User nicht ausführen. Wenn ich diese von dem anderen User starte, sind die Einträge wie vorgegeben.
Vielleicht ist das ja ein Hinweis??!

cosinus 27.08.2010 19:04
Probier mal das: Folgenden Text aus der Codebox kopieren in Notepad, das abspeichern als exefix.reg zB auf dem Desktop. Dann per Doppelklick ausführen.

Code:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

balou418 29.08.2010 11:01
Ich hab die Datei erstellt, auf den Desktop kopiert und gestartet. Danach kommt die Meldung:
Die Datei kann nicht importiert werden: Die angegebene Datei ist keine Registrierungsdatei. Registrierungsdateien können nur innerhalb des Registrierungseditors importiert werden.
Soll ich die dann direkt in der regedit importieren?

cosinus 29.08.2010 20:06
Du musst die Datei als *.reg speichern, hast Du das gemacht?
Die Datei muss dann dieses Icon haben => http://www.corruptedfilerepair.com/i...ension-key.png

balou418 01.09.2010 09:19
Hab ich gemacht, Icon sieht auch so aus, bekomme aber trotzdem die Meldung. Habe es auch im abgesicherten Modus probiert. Allerdings kann ich jetzt außer Windows- Update und Antivir zumindest Applikationen installieren. Ich habe mal testweise das Java- Update gemacht, was auch funktionierte.

balou418 06.09.2010 16:00
Ich hab den Rechner jetzt neu aufgesetzt. Trotzdem vielen Dank für Deine Hilfe.:abklatsch:


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:09 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129