Regedit problem

  • Hallo,
    ich hab das problem wenn ich auf Start --> Ausführen --> eintippe: regedit, dann fehlen die HKEY_LOCAL_ Dateien und früher war das da.


    Wo kann das problem liegen?


    Gruß:
    Wender

  • Hallo,
    also Viren hatte ich nicht. 1-2 Trojaner habe ich bemerkt, aber die sind schon seit heute morgen wieder gelöscht.


    Gruß:
    Wender

  • Weißt Du noch die Namen der Trojaner Du gelöscht hast? Wie hast Du sie gelöscht?


    Das Problem kann eigentlich nur durch Änderungen an den Registry Berechtigungen hervorgerufen sein. Nicht einfach so etwas zu korrigieren.
    Downloade und installiere mal Registrar Lite.


    Kannst Du HKLM da sehen?

  • Hallo !


    Hast Du mal mit einem aktuellen Virenscanner gescannt ?



    Viele Grüße !
    Janine

    Montag früh, 8:00 Uhr und die Woche nimmt einfach kein Ende

  • Also mit den Virenscanner hab ich´s überprüft, dass Programm hat nichts gefunden.
    Yoyo, leider weiß ich nicht mehr, welche Trojaner ich gelöscht habe, da das Program die Namen nicht angezeigt hat nur solche Namen wie z.B: Web rebates, DSO Exploit. Ich hab das mit den Programm Spybot- Search & Destroy gemacht und hab nach geschaut, da waren 7 Trojaner.
    Ich hab das Programm Registrar Lite gedownloadt, dort werden die HKLM Dateien angezeigt. Bei Ausführen --> Regedit sind immer noch nicht die HKLM Dateien zu sehen.


    Gruß:
    Wender

  • Wenn Du in Reglite HKLM markierst und dann im Menü unter Security "Edit Permissions" wählst, was wird da für Administratoren, Jeder und System jeweils angezeigt? Ist irgendwo ein "Verweigern" Kästchen markiert?


    Warnung! Ist sehr gefährlich Registry Berechtigungen zu ändern - besonders für einen so wichtigen Schlüssel.


    Poste auch mal einen HijackThis Log. Vielleicht sehen wir da auch was.

  • Hier ist das Logfile:


    Logfile of HijackThis v1.98.2
    Scan saved at 15:30:36, on 2004.08.28.
    Platform: Windows XP Szervizcsomag 1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\CAPRPCSK.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
    C:\Program Files\D-Tools\daemon.exe
    C:\WINDOWS\System32\PDSched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
    C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Web_Rebates\WebRebates1.exe
    C:\Program Files\Web_Rebates\WebRebates0.exe
    C:\Program Files\Crazy Browser\Crazy Browser.exe
    C:\Documents and Settings\Dávid\Local Settings\Temp\Átmeneti könyvtár (1) - hijackthis.zip\HijackThis.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\DOKUME~1\David\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Rádió - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock
    O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
    O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\anllny.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
    O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
    O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\DVID~1\LOCALS~1\Temp\djtopr1150.exe"
    O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Dokumentumok\David\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
    O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
    O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O10 - Hijacked Internet access by New.Net
    O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
    O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/games/clients/y/cct0_x.cab
    O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
    O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
    O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://nepten.afi.de/msrdp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{329360DD-7A35-47A0-BAAF-E92D8702EBAD}: NameServer = 145.236.227.108 145.236.88.66

  • Nicht sicher ob es das Registry Problem beseitigt, aber etwas aufräumen sollten wir auf jeden Fall.


    HijackThis in einen eigenen permanenten Ordner entpacken. Das Programm kann sonst keine Backups anlegen.


    In der Systemsteuerung - Software nachschauen ob da etwas wie NewNet, NewDotNet oder ähnlich aufgelistet ist.
    Wenn ja, deinstallieren.


    Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).


    Unter Start - Ausführen hijackthis eingeben und OK klicken. Nichts anderes öffnen.


    HijackThis die folgenden Einträge soweit noch vorhanden fixen lassen:


    O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.dll
    O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
    O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\anllny.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
    O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
    O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOCUME~1\DVID~1\LOCALS~1\Temp\djtopr1150.exe"
    O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm


    Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)


    Die folgenden Dateien löschen:
    C:\WINDOWS\System32\anllny.exe
    C:\WINDOWS\System32\PDSched.exe


    Die folgenden Ordner löschen:
    C:\Program Files\Web_Rebates
    C:\Program Files\NewDot~1


    Den Inhalt dieser Ordner löschen:
    C:\Documents and Settings\Dávid\Local Settings\Temp
    C:\Documents and Settings\<jeder andere Benutzer>\Local Settings\Temp
    C:\Windows\Temp
    Die temporären Internetdateien über Systemsteuerung - Internetoptionen löschen.


    Computer in den Normalmodus neustarten.


    Einen Online Virenscanner laufen lassen:


    PandaSoft
    TrendMicro
    Symantec


    Einen neuen HijackThis Log posten und überprüfen ob sich etwas an dem regedit Problem geändert hat.


    Du solltest dringendst ein Antivirenprogramm installieren.

  • So, Danke für den Tipp im Systemsteuerung. Ich habe grad 3 Programme gefunden, was noch vor paar Tagen nicht installisiert war:


    New.net Domains 6.30
    WebhancerSurvey Companion
    Webrebates


    Ich habe grad ein anderes Antivirus Programm benützt, damit habe ich 16 infizierte Programme gefunden.
    Deshalb tauchen bei der Spybot scan immer neue Trojaner.


    Ich brauch noch ungefähr 20 Minuten bis ich alles durchgemacht habe, dann werde ich die neue Logs hier her kopieren.


    Es waren diese Virus:
    Backdoor.Berbew.I
    W32.Korgo.T
    W32.Korgo.V
    Backdoor.Berbew.I
    W32.Spyboot.Worm
    W32.Korgo.Q


    Gruß:
    Wender

  • Hallo,
    also ich konnte alle Virus/Trojaner löschen außer:
    W32.Spybot.Worm


    Das Antivirus Programm konnte nicht löschen, ich selber konnte das nicht löschen, kopieren.
    Ich probier mal durch den Abgesicherten Modus zu löschen und Systemwiederherstellung zu deaktivieren.


    Es befindet sich bei mir unter:
    C:\WINDOWS\system32\PDSched.exe
    Das Spybot konntezur Zeit das auch nicht löschen, weil das wieder sofort erscheint.


    Gruß:
    Wender

  • Hallo,
    also ich konnte jetzt alle Trojaner/Viren löschen, hab auch mit hijackthis überprüft, da ist alles ok.


    Unter Regedit habe ich dieses Datei, sonst nichts:
    HKEY_CLASSES_ROOT\.gho\ShellEx\{00021500-0000-0000-c000-000000000046}


    Im Registrar Lite werden die andere Programme weiterhin angezeigt, nur im Start --> Ausführen nicht.


    Kann mir da jemand weiterhelfen, wie ich die andere Dateien wieder herholen kann, wie früher?

  • Bis jetzt hast Du immer gesagt HKLM würde nicht angezeigt. Jetzt sagst Du, daß nur ein einziger Schlüssel unter HKCR angezeigt wird und sonst nichts. Was denn nun?


    Hast Du die Registryberechtigungen (wie oben beschrieben) mal überprüft?


    Poste am besten auch noch einen aktuellen HijackThis Log.

  • Hallo yoyo,
    das mit den Registrierungsschüssel ist gestern Abend erschienen.
    Ich muss mal nochmal deine Anweisungen folgen, da ich das nicht ganz zu ende machen konnte, da dass Norton dauernd einen Fehler gemeldet hat. Oder soll ich das nicht machen?


    Ich habe vor paar Minuten bemerkt, dass in den anderen benutzername vieles geändert wurde. z.B. Hintergrund, das Arbeitsplatz, Internet Explorer und die andere Programme sind auch weg, aber bei regedit sind die HKEY Dateien drin.


    Gruß:
    Wender

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!