Hallo,
ich hab das problem wenn ich auf Start --> Ausführen --> eintippe: regedit, dann fehlen die HKEY_LOCAL_ Dateien und früher war das da.
Wo kann das problem liegen?
Gruß:
Wender
Hallo,
ich hab das problem wenn ich auf Start --> Ausführen --> eintippe: regedit, dann fehlen die HKEY_LOCAL_ Dateien und früher war das da.
Wo kann das problem liegen?
Gruß:
Wender
HKEY_LOCAL_MACHINE wird überhaupt nicht angezeigt oder keine Unterschlüssel?
HKEY_LOCAL_MACHINE wird nicht angezeigt.
Gruß:
Wender
Malware oder Viren?
Hallo,
also Viren hatte ich nicht. 1-2 Trojaner habe ich bemerkt, aber die sind schon seit heute morgen wieder gelöscht.
Gruß:
Wender
Weißt Du noch die Namen der Trojaner Du gelöscht hast? Wie hast Du sie gelöscht?
Das Problem kann eigentlich nur durch Änderungen an den Registry Berechtigungen hervorgerufen sein. Nicht einfach so etwas zu korrigieren.
Downloade und installiere mal Registrar Lite.
Kannst Du HKLM da sehen?
Hallo !
Hast Du mal mit einem aktuellen Virenscanner gescannt ?
Viele Grüße !
Janine
Also mit den Virenscanner hab ich´s überprüft, dass Programm hat nichts gefunden.
Yoyo, leider weiß ich nicht mehr, welche Trojaner ich gelöscht habe, da das Program die Namen nicht angezeigt hat nur solche Namen wie z.B: Web rebates, DSO Exploit. Ich hab das mit den Programm Spybot- Search & Destroy gemacht und hab nach geschaut, da waren 7 Trojaner.
Ich hab das Programm Registrar Lite gedownloadt, dort werden die HKLM Dateien angezeigt. Bei Ausführen --> Regedit sind immer noch nicht die HKLM Dateien zu sehen.
Gruß:
Wender
Wenn Du in Reglite HKLM markierst und dann im Menü unter Security "Edit Permissions" wählst, was wird da für Administratoren, Jeder und System jeweils angezeigt? Ist irgendwo ein "Verweigern" Kästchen markiert?
Warnung! Ist sehr gefährlich Registry Berechtigungen zu ändern - besonders für einen so wichtigen Schlüssel.
Poste auch mal einen HijackThis Log. Vielleicht sehen wir da auch was.
Hier ist das Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 15:30:36, on 2004.08.28.
Platform: Windows XP Szervizcsomag 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\PDSched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Documents and Settings\Dávid\Local Settings\Temp\Átmeneti könyvtár (1) - hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\DOKUME~1\David\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Rádió - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\anllny.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\DVID~1\LOCALS~1\Temp\djtopr1150.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Dokumentumok\David\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://C:\PROGRA~1\MICROS~2\OFFICE11\http://EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/games/clients/y/cct0_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://nepten.afi.de/msrdp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{329360DD-7A35-47A0-BAAF-E92D8702EBAD}: NameServer = 145.236.227.108 145.236.88.66
Nicht sicher ob es das Registry Problem beseitigt, aber etwas aufräumen sollten wir auf jeden Fall.
HijackThis in einen eigenen permanenten Ordner entpacken. Das Programm kann sonst keine Backups anlegen.
In der Systemsteuerung - Software nachschauen ob da etwas wie NewNet, NewDotNet oder ähnlich aufgelistet ist.
Wenn ja, deinstallieren.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Unter Start - Ausführen hijackthis eingeben und OK klicken. Nichts anderes öffnen.
HijackThis die folgenden Einträge soweit noch vorhanden fixen lassen:
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.dll
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\anllny.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\DVID~1\LOCALS~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)
Die folgenden Dateien löschen:
C:\WINDOWS\System32\anllny.exe
C:\WINDOWS\System32\PDSched.exe
Die folgenden Ordner löschen:
C:\Program Files\Web_Rebates
C:\Program Files\NewDot~1
Den Inhalt dieser Ordner löschen:
C:\Documents and Settings\Dávid\Local Settings\Temp
C:\Documents and Settings\<jeder andere Benutzer>\Local Settings\Temp
C:\Windows\Temp
Die temporären Internetdateien über Systemsteuerung - Internetoptionen löschen.
Computer in den Normalmodus neustarten.
Einen Online Virenscanner laufen lassen:
Einen neuen HijackThis Log posten und überprüfen ob sich etwas an dem regedit Problem geändert hat.
Du solltest dringendst ein Antivirenprogramm installieren.
Also Antivirenprogramm hab ich schon und durchgelaufen.
Hab Norton Antivirus 2003 und neuster Update.
Muss mal schauen, was ich noch tun kann.
Gruß:
Wender
So, Danke für den Tipp im Systemsteuerung. Ich habe grad 3 Programme gefunden, was noch vor paar Tagen nicht installisiert war:
New.net Domains 6.30
WebhancerSurvey Companion
Webrebates
Ich habe grad ein anderes Antivirus Programm benützt, damit habe ich 16 infizierte Programme gefunden.
Deshalb tauchen bei der Spybot scan immer neue Trojaner.
Ich brauch noch ungefähr 20 Minuten bis ich alles durchgemacht habe, dann werde ich die neue Logs hier her kopieren.
Es waren diese Virus:
Backdoor.Berbew.I
W32.Korgo.T
W32.Korgo.V
Backdoor.Berbew.I
W32.Spyboot.Worm
W32.Korgo.Q
Gruß:
Wender
Hallo,
also ich konnte alle Virus/Trojaner löschen außer:
W32.Spybot.Worm
Das Antivirus Programm konnte nicht löschen, ich selber konnte das nicht löschen, kopieren.
Ich probier mal durch den Abgesicherten Modus zu löschen und Systemwiederherstellung zu deaktivieren.
Es befindet sich bei mir unter:
C:\WINDOWS\system32\PDSched.exe
Das Spybot konntezur Zeit das auch nicht löschen, weil das wieder sofort erscheint.
Gruß:
Wender
Hallo,
also ich konnte jetzt alle Trojaner/Viren löschen, hab auch mit hijackthis überprüft, da ist alles ok.
Unter Regedit habe ich dieses Datei, sonst nichts:
HKEY_CLASSES_ROOT\.gho\ShellEx\{00021500-0000-0000-c000-000000000046}
Im Registrar Lite werden die andere Programme weiterhin angezeigt, nur im Start --> Ausführen nicht.
Kann mir da jemand weiterhelfen, wie ich die andere Dateien wieder herholen kann, wie früher?
Bis jetzt hast Du immer gesagt HKLM würde nicht angezeigt. Jetzt sagst Du, daß nur ein einziger Schlüssel unter HKCR angezeigt wird und sonst nichts. Was denn nun?
Hast Du die Registryberechtigungen (wie oben beschrieben) mal überprüft?
Poste am besten auch noch einen aktuellen HijackThis Log.
Hallo yoyo,
das mit den Registrierungsschüssel ist gestern Abend erschienen.
Ich muss mal nochmal deine Anweisungen folgen, da ich das nicht ganz zu ende machen konnte, da dass Norton dauernd einen Fehler gemeldet hat. Oder soll ich das nicht machen?
Ich habe vor paar Minuten bemerkt, dass in den anderen benutzername vieles geändert wurde. z.B. Hintergrund, das Arbeitsplatz, Internet Explorer und die andere Programme sind auch weg, aber bei regedit sind die HKEY Dateien drin.
Gruß:
Wender
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!