DProtect - regedit: "AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."

Flachschippe

Hi allerseits!
Ein Super Forum habt Ihr hier.

Zusammenfassung:
Die Meldung im Betreff will ich loswerden.

Details:

Auf einem Windows 7 Pro 32bit Rechner, der mir nicht gehört, habe ich geholfen,
Malware (qvo6, DProtect, Ask.com Toolbars) zu entfernen.
Hier hatte sich übrigens jemand vor kurzem ebenfalls eines der Mistviecher eingefangen:
http://www.trojaner-board.de/141253-...ekommen-2.html

Es verbleibt im Moment genau ein Registry- Eintrag, den will ich loswerden.

regedit.exe zeigt im Registry-Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\

Einträge für zwei DLLs, die zu DProtect gehören:

AppInit_DLLs: C:\Users\ANSTANDSBALKEN\AppData\Local\DProtect\eBP.dll,C:\Users\ANSTANDSBALKEN\AppData\Local\DProtect\eBPSD.dll

LoadAppInit_DLLs: 1

Die referenzierten DLLs sind nicht mehr dort, der erste Eintrag ist daher nicht mehr wirksam.
Den zweiten Eintrag könnte man verwenden, um den ersten zu deaktivieren - wenn er sich schreiben ließe.
Beim Versuch, die Werte der Einträge zu ändern, erhalte ich Meldungen wie diese:

"AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."

Leider verrät Windows nicht, welcher Art der aufgetretene Fehler ist (der Wert bleibt jedenfalls unverändert),
oder warum das passiert (zum Beispiel dass es eine Policy ist, oder so etwas).
Beim Versuch, die Einträge zu löschen, erhalte ich die gleiche Meldung.

Weiß jemand, woran das liegt, und wie ich diese Einträge ändern kann?

Es gibt Programme, die "wertvolle" Registry-Einträge irgendwie schützen, zum Beispiel meine Firewall.
Dort habe ich den Eintrag für den obigen Schlüssel deaktiviert, indem ich die letzte Komponenten in "WindowsAUSGESCHALTET" geändert habe.
Das hat leider nicht geholfen.

Im oben erwähnten verwandten Thema gibt es einen Beitrag
( http://www.trojaner-board.de/141253-...ml#post1156187 ),
in dem enthält eine der Log-Dateien eine Meldung
("HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs => Error setting value."),
die zeigt, dass der Registry-Schlüssel auch dort schreibgeschützt ist.
Das wiederum könnte heißen, dass die Malware selbst versucht, diesen Schlüssel vor Veränderung (und Reinigung) zu schützen.
Oder derjenige hat ebenfalls einen Schutzmechanismus, der ihm dazwischenfunkt. :-/

Ich habe auch schon probiert, den Eintrag im abgesicherten Modus zu entfernen.
Das schlägt mit der gleichen Meldung fehl.

Und ich habe es mit dem "Computerreparatur"-Modus versucht (entspricht Recovery Console?).
Dort erscheint der Registry-Wert von AppInit_DLLs leer - dann kann ich auch nicht versuchen, ihn zu leeren.
Anscheinend ist das eine eigene Windows-Instanz, mit eigener Registry.

Im Moment habe ich keinen Anlass, anzunehmen, dass noch ein Schädling "aktiv" ist.
Für die, die es trotzdem interessiert, hier meine Notizen, was ich alles gemacht habe:

=== QVO6 / DProtect Trojaner

==== DProtect deinstallieren

-> Ohne Erfolg => Darum ist es Malware.

Verzeichnis entfernen -> einige Dateien werden noch verwendet

==== Eine Ask Toolbar deinstalliert

- es gab aber zwei Einträge.

==== Die zweite Ask Toolbar deinstallieren

-> geht nicht, Uninstaller macht einen Rollback.
Es kommt eine französische Meldung, ich möchte bitte vorher folgende Programme beenden oder deinstallieren -
aber da folgt keine Liste.

Auf dem Rechner finden sich einige Verzeichnisse mit Namen, die mit "APN" beginnen.
In einem dieser Verzeichnisse befanden sich Log-Dateien, die auf "Ask.com" und deren Toolbar verweisen.
Alles gelöscht.

==== FTDownloader deinstalliert

==== Java 7 deinstalliert
Da ich den Verdacht hatte, dass die Ask.com-Toolbar mit der Java-Installation
mit installiert wurde.

==== Java 6 gelöscht

Hatte geglaubt, dass es für Java 6 keinen Eintrag unter "Installierte Progamme" mehr gegeben hatte.
Das war falsch, es gab noch einen Eintrag, aber leider vermultich nicht direkt neben dem alten.
Java 6 heißt einfach "Java 6", Java 7 heißt vielleicht "Oracle Java 7" oder so.

==== 1. Spybot Scan, Funde reparieren lassen

==== Registry nach DProtect durchsucht, Vorkommen entfernt.
Neustart

==== 2. Spybot Scan während Windows-Start, reparieren lassen
Neustart

==== Internet Explorer zurückgesetzt

==== Firefox neu runtergeladen und neu installiert

Ja, den kann man auch zurücksetzen, aber ich traute der installierten Version nicht,
da ich vermute, dass qvo6 bzw. DProtect mit dem Firefox-24-Installer auf das System gelangt sind.

==== Verzeichnis DProtect umbenannt und in "Quarantäne" verschoben

==== Service DPService deaktiviert

==== Resistente Registry-Schlüssel

Siehe oben in der Problembeschreibung.

==== 3. Spybot Scan, einzigen Fund (IE-"Tabs"-URL = qvo6-URL) reparieren lassen

==== CCleaner laufen lassen

==== Vorkommen aus Registry entfernt:

* qvo6
* DProtect - bis auf AppInit_DLLs :-(
* AskToolbar
* ask.com => Leider gibt "Task.Completion" und xyztask.com auch Treffer.
- Treffer für APN (-Updater)
* APN ("ganze Zeichenkette", da sonst zu viele Einträge gefunden werden, in denen "apn" nur zufällig vorkommt)
* Toolbar (keine ungewollten Funde mehr)

Einen Virenscanner habe ich auch mal auf den DProtect gehetzt,
aber die sind ja wählerisch, und interessieren sich eher selten für "Toolbars". :-/