Böser Trojaner ? (Kein zugriff mehr auf System32 )

skrug10239

Hallo.
Ich bin neu hier und begrüße alle alten Hasen hier.

Ich hoffe Jemand kann mir vielleicht helfen.

Ich habe Win7 Ultimate 64 Bit.(HDD 1) Win7 Ultimate Beta (HDD2) WinXP (HDD 3)

Problem ist meine Win7 64 Bit von HDD1 mein Arbeits und Spiele Windows
Seit einiger Zeit machte mein Antivirus (AVG) Probleme, meldete immer wieder Infektionen im Windows Temp verzeichnis.
Dort reingeschaut fand ich immer wieder einen neuen Temp Ordner der aber leer war mit wechselnden kurzen Namen wie Temp1000h8b.

Nachdem ich den Antivir und den Avast und Spypot S&D durchlaufen habe lassen, verschwand dieses Problem.

Ein neues trat auf. Mein Antivirus (Nicht von Avira sondern von AVG) konnte keine Einstellungen mehr behalten. Es konnten keine Änderungen mehr gespeichert werden.
Es lies sich auch der live Schutz nicht mehr deaktivieren.

Da dies nun zu Problemen mit dem Spiel WarThunder führte, hab ich den AVG deinstaliert und Bitdefender instaliert.

Der lief ein paar Stunden ohne Probleme wurde dann aber plötzlich beendet.

Das war Vorgestern.
Dann kam ein Windowsupdate und nach dieser Installation funktionierte mein Netzwerk nicht mehr.

Ich konnte weder lokal den Router ansprechen noch ins Internet.

Also habe ich mein altes XP von einer anderen Platte gestartet und siehe da Internet funzt wieder.

Aber nicht vom Win 7
DNS Dienst wurde nicht gestartet.
Ließ sich auch nicht Manuell starten, da angeblich ein Modul fehlt.

Also gleich mal den entsprechenden Regestrieeintrag angeschaut.

(kann man Screenshots hier posten?)

Dort finden sich einmal

extension REG_EXPAND_SZ %SystemRoot%\System32\dnsext.dll
ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\dnsrslvr.dll
ServiceDllUnloadOnStop REG DWORD 0x000001 (1)
ServiceMain REG_SZ SetAccessPolicy

In meinem Notfall Win7 Ultimate (Einer Beta von damals die immer noch herhalten muss wenn es unter dem normalen Win7 hakt) stehen dort nur

ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\dnsrslvr.dll
ServiceDllUnloadOnStop REG DWORD 0x000001 (1)

Also den Schlüssel auf diese Menge gekürzt und der DNS Dienst ließ sich dann starten.
Aber Netzwerk funktionierte immer nich nicht.

Also neustart des Win7 und immer noch nicht.
Die alten Einträge wiederhinzugefügt und nun bekomme ich fehler 127 wenn ich den DNS starten will.

Prozedur nicht gefunden.

Also wahrscheinlich die Dlls komprimitiert.

Doch nun Überraschung. Ich konnte keine DLL durch eine originale ältere DLL ersetzen.
Ich hatte als Admin keinerlei Berechtigungen im System32 mehr.
Die konnte ich auch nicht mehr setzten. Normalerweise konnte ich sonst mir die Zugriffsrechte selber geben. Habe schon früher mal Dlls austauschen müssen.
Doch nun sind die Kästchen zum verteilen der Zugriffsberechtigungen bei den Ordner System32 verschwunden.

Bei den anderen Ordner sind die da. Nur bei dem nicht mehr.

Auch wenn ich von meinem anderen Win7 (Win 7 Beta) starte (Andere HDD) und dort mit aktiviertem Admin Konto versuche in dem System32 Ordner von Win7 (Win 7 Arbeit)
auch nur eine Dll umzubenennen, verweigert man mir jeden Zugriff. Ein Trustedinstaller müsste mir die Rechte vererben. Auch dort sich die Kästchen im Zugriffsberechtigungs Menü zwar diesmal vorhanden, aber allesamt ausgegraut. Und der Hersteller, Admin und System haben keine Zugriffe mehr.

Meine Frage lautet nun, welcher Schädling, kann einen derart von sämtlichen Zugriffen auf System32 aussperren, das man nichtmal mehr mit einem anderen Win7 sich dort als Admin irgendwelche Zufgriffe wieder herstellen kann, sondern diese Kästchen nun alle ausgegraut sind.

Natürlich kann somit auch kein Virenscanner mehr auf System32 zugreifen, egal von welcher Festplatte ich irgendein Windows starte.

Meine letzte Hoffnung ist eine Knoppix DVD.
Leider habe ich keine Heise CT Life security CD mehr.

Damit hätte ich mit diversen Virenengines, dieses System32 vielleicht mal säubern können.

Was bleibt mir wohl nun übrig ?
Datensichern und HDD formatieren ? Und wie stelle ich fest ob der Schädling nicht schon in dem Datenbackup ist ?
Ist schon ein Jahr her, daß ich den letzten Zugriff auf System32 hatte, der noch einwandfrei funzte.

Mir wäre aber auch schon mit Informationen zu diesem Schädling geholfen.
Oder Programmen die sowas aufspüren können.

Mein Autostart ist übrigens immer beschnitten.
Ich starte grundsätzlich keine Toolbars und sonstigen Müll.

Ich schmeiße regelmäßig alles wieder aus den Einträgen raus. Nur Virenscanner und Windows Dienste starten.
Das reduziert die Bootzeit und veringert Probleme durch die ganzen APple, Adobe und sontigen Toolbars, angeblichen Helferlein, Googleupdaters usw. Achja und den Spybot lasse ich drin. Der immunisiert regelmäßig mein System.
Aber den habe ich jetzt auch rausgeschmissen um zu sehen ob er das Problem ist.

Ist er nicht.
Ich habe ein leeres Startmenu und nur die nötigsten Windowsdiesnte gestartet. NIX. Immer noch kein Netzwerk
Abgesicherter Modus mit Netzwerkunterstützung = gleiches Problem.

Ich weiß nicht mehr weiter...
Was helfen Malwarescanner, wenn auch die keinen Zugriff auf die System32 erhalten.

Gibts einen der trotzdem dort scannen kann ?

Gruß.

Ich müsste noch erwähnen, es eilt etwas mit dem Thema, da weder mein Win 7 Beta noch mein WinXP nicht die sichersten sind.

Trotz Virenscanner
Beide Betriebsysteme werden ja nicht mehr durch neue Windowsupdates gepflegt.

Ich kann aber nur mit diesen noch ins Internet und hier schreiben.