Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "RegEdit" nicht möglich! Trojaner??? Hilfe!!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.02.2006, 18:50   #1
joseba
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Icon21

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hallo
Ich: WIN XP Pro SP 2 etc... Seit längerem bekomme ich die Meldung beim Versuch, die Registry mit REGEDIT zu öffnen: "Die Registrierung wurde durch den Administrator gesperrt." Das ist aber falsch. Ich bin der Administrator, habe noch das Gast-Konto eingerichtet und habe sonst nix deaktiviert.

Im abgesicherten Modus (als Administrator) und nach Scan mit Ad-Aware entferne ich regelmäßig 8-10 kritische Objekte. Danach komme ich auch wieder in die Registry. Und der Wert bei HKCU\Software\WINDOWS\CurrentVersion\Policies\System\DisableRegistryTools steht auf "0". So wie es sein soll. Doch nach dem Neustart im normalen Modus steht er wieder auf "1" (siehe Ziffer 07 des Log-File) und ich komme nicht mehr in die Registry... Und es kommt auch zu Systemabstürzen!!! Ist das ein Backdoor-Trojaner??? Wie bekomme ich ihn weg??? Wie krieg ich da 'ne "1" hin...Brauche dringend Hilfe!!!

Vielleicht sind ja noch mehr Fehler drin:

Hier mein Log-File von HiJackThis
Logfile of HijackThis v1.99.1
Scan saved at 18:17:38, on 18.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\tunebite\tunebite.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\winadm.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\SEMon21.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\WINDOWS\System32\svchost.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
C:\WINDOWS\system32\winadmd.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe
C:\Norman\bin\niu.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Jörg Seidel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Startup: SmartSurfer_0.lnk = C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Call Tray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 721 Monitor.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot

Sonderedition\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot

Sonderedition\plmg.exe (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -

http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093185142237
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe

Danke für eure Hilfe....
Gruß an Alle
__________________
Alles wird gut...!?

Alt 18.02.2006, 19:32   #2
cacatoa
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hi,
mit dem O7-Eintrag hast Du recht.
Fixe mit HJT den Eintrag bei deaktivierter Systemwiederherstellung im abgesicherten Modus.
Boote neu und schalte die Systemwiederherstellung wieder an.
Schau nach, ob der Eintrag weg ist.
Kennst/willst du die folgenden:
Sonderedition\plmg.exe (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
Wenn nicht, ebenfalls fixen.
Dann bitte neues Logfile posten.
cacatoa
__________________

__________________

Alt 19.02.2006, 21:30   #3
joseba
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Icon17

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hi Cacatoa...
Danke für deine Hilfe - hat aber leider nicht geklappt... Ich kam zwar nach dem Fixen der Zeile 07 in die Registry, aber nach dem Booten war Zeile 07 wieder da
Da scheint also irgendwo etwas im System zu stecken, das die Zeile in die Registry jedesmal neu einträgt... Oder sehe ich das falsch..?

Hier nun der neue Log nach dem Fixen. 07 ist immer noch dabei!
Vielleicht findet du oder die anderen noch etwas anderes..
Bin sehr dankbar für jede Hilfe!!!

Logfile of HijackThis v1.99.1
Scan saved at 21:18:38, on 19.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\tunebite\tunebite.exe
C:\WINDOWS\system32\winadm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\SEMon21.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winadmd.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jörg\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = **** ****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *********
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Startup: SmartSurfer_0.lnk = C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Call Tray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 721 Monitor.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot Sonderedition\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot Sonderedition\plmg.exe (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093185142237
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FE4923C-C5F4-4EFA-9C93-0F877A7418C0}: NameServer = *******
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe
__________________
__________________

Alt 20.02.2006, 09:27   #4
cacatoa
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Moin, joseba,
hast du es genau so gemacht:
Fixe mit HJT den Eintrag bei deaktivierter Systemwiederherstellung im abgesicherten Modus?
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 20.02.2006, 15:38   #5
joseba
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hallo cacatoa...
...ja, alles so gemacht wie beschrieben. Nach dem Fixen der Zeile 07 komme ich aber immerhin in die Registry. Sowohl im abgesicherten, als auch im normalen Modus. Kann man da nicht irgend etwas drehen?

Bevor ich also die Systemwiederherstellung wieder aktivieren kann, muß ich ja aus dem abgesicherten Modus raus und neu booten. Und genau nach dem Bootvorgang ist schon wieder die Zeile 07 eingefügt - noch bevor ich die Systemwiederherstellung aktivien kann... Also ein ewiger Kreislauf, und ich weiß nicht, wie ich im Bootvorgang das Einfügen dieser Zeile verhindern kann.

Daneben scheint ja auch noch irgendwo der Trojaner zu stecken. Hast du eine Ahnung wo?

Danke, jedenfalls schon mal für dein Hilfe...
Gruß
joseba

__________________
Alles wird gut...!?

Alt 20.02.2006, 17:36   #6
cacatoa
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hi, joseba,
bitte führe genau nach der Anleitung einen eScan aus und poste das Ergebnis.
(Dauert ca. ne gute Stunde)
Mich wundert, daß du den Eintrag nicht wegbringst; das Problem hatten wir schon öfter - und dann auf diese Art gelöst.
cacatoa
__________________
--> "RegEdit" nicht möglich! Trojaner??? Hilfe!!!

Alt 20.02.2006, 17:41   #7
Haui45
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Sorry, hab mich vertan

Alt 22.02.2006, 14:57   #8
joseba
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hallo, da bin ich wieder...
... Wie du siehst habe ich heute Morgen nun nach Anleitung den eScan mit MWAV durchgefürt (fast 2,5 Stunden)!!!

Hier nun das Ergebnis der MWAV.LOG-Datei. Bitte schaut doch mal:
Übrigens: NORMAN ist mein Lizensierter Virenscanner... Kann ich die Datei einfach so löschen?
Und die Meldung mit der System32-Datei (cmd.ftp) ist wirklich 2mal im Log eingetragen. Da scheint ja was im System zu stecken oder?

Bin für jede Hilfe dankbar.

Hier der Log:

Wed Feb 22 11:36:43 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.u" Virus! Action Taken: No Action Taken.

Wed Feb 22 11:36:48 2006 => Offending Key found: HKLM\Software\kazaa !!!
Wed Feb 22 11:36:48 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Feb 22 12:16:38 2006 => File C:\Norman\Temp\NIP\VIRUS\debug1.txt infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.

Wed Feb 22 13:25:31 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.u" Virus! Action Taken: No Action Taken.
__________________
Alles wird gut...!?

Alt 23.02.2006, 09:19   #9
cacatoa
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hi, joseba,
leere mal den Quarantäne- oder Infected-Ordner von Norman.
C:\WINDOWS\system32\cmd.ftp ist der Sasser-A. Hier ein Sasser.A removal tool.
Probiers und melde dich wieder.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 23.02.2006, 17:30   #10
joseba
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hi...
Danke für die Tipps!
Der Qarantäne Ordner in NORMAN war leer! Da war nix zu löschen..

Habe mir das Removal-Tool gegen Sasser.A runtergeladen. Kann es leider nicht installieren. Bekomme folgende Fehlermeldung:

"Setup has detected, that the Sevice Pack Version of this system in newer, than the update you are applying."

Gibts noch andere Möglichkeiten???
Z.B. Kann man diese Dateien irgendwo hochladen und online prüfen und säubern lassen???

Gruß
Joseba
__________________
Alles wird gut...!?

Alt 23.02.2006, 17:39   #11
cacatoa
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Hi,
sorry, du hast ja SP 2 drauf; da ist das removal nicht notwendig. Die DAtei ist also ein Relikt; deshalb bitte manuell löschen:
C:\WINDOWS\system32\cmd.ftp
das Norman temp-file kannst du löschen, wenn es Norman icht schon gemacht hat.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 23.02.2006, 18:16   #12
DonMega
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



so ich hab zwar keine ahnung von allem
aber falls du und ich betone falls du xp-antispy benutzt solltest du nachsehen ob du dort nicht regedit deaktiviert hast


lg
der noob^^

Alt 23.02.2006, 20:55   #13
joseba
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Zitat:
Zitat von cacatoa
Hi,
...bitte manuell löschen:
C:\WINDOWS\system32\cmd.ftp
...
cacatoa
Hallo..
meinst Du, ich kann die Datei wirklich einfach so löschen? Immerhin steht sie im System32-Ordner...

Gruß
Joseba
__________________
Alles wird gut...!?

Alt 23.02.2006, 21:09   #14
felix1
/// Helfer-Team
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



Zitat:
Zitat von DonMega
so ich hab zwar keine ahnung von allem
Und warum postest Du dann überhaupt

@joseba

Folge der Anweisung von Cacatoa. Brauchst keine Sorgen zu haben.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 24.02.2006, 13:30   #15
cacatoa
 
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Standard

"RegEdit" nicht möglich! Trojaner??? Hilfe!!!



@ felix1:
thx
@ DonMega:
Ein Blick auf das HJT-Logfile hätte Dir gezeigt, daß er es nicht nutzt...
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu "RegEdit" nicht möglich! Trojaner??? Hilfe!!!
abgesicherten modus, ad-aware, adobe, bho, canon, computer, defense, dringend, einstellungen, excel, fehler, free download, hijack, hijackthis, hilfe!!, hilfe!!!, internet, internet explorer, nicht möglich, norman, registry, rundll, scan, server, software, system, trojaner, trojaner?, virus, windows, windows xp




Ähnliche Themen: "RegEdit" nicht möglich! Trojaner??? Hilfe!!!


  1. Ping nicht möglich und Probleme mit IPFire "pakfire unreachable"
    Netzwerk und Hardware - 09.07.2015 (0)
  2. Herunterfahren nicht möglich, Versuch über "ausführen" legt alles lahm, nun keine Aktionen mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 10.02.2015 (13)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. DProtect - regedit: "AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts."
    Plagegeister aller Art und deren Bekämpfung - 07.11.2013 (4)
  5. "Iminent" verlangsamt PC erheblich, Löschen nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 23.09.2013 (6)
  6. GVU-Trojaner und Booten im "abgesicherten Modus" nicht möglich!
    Plagegeister aller Art und deren Bekämpfung - 13.07.2013 (12)
  7. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  8. "Bundespolizei"-Trojaner entfernen nicht möglich?
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (1)
  9. (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1")
    Log-Analyse und Auswertung - 19.06.2012 (1)
  10. Bundespolizei Ukash Trojaner ; "Xubuntu 12.04" findet Laufwerk "C" nicht.
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  11. Neue Email "Lieferschein.zip"; Passwort ändern bei web.de nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (1)
  12. Trojaner "Es besteht keine Internetverbindung" - "REATOGO X-PE Desktop" wird nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 05.02.2012 (19)
  13. "Bundespolizei-Malware" verhindert Booten von CD! -> Rettung per Kaspersky nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 26.06.2011 (13)
  14. taskmanager wurde durch den administrator deaktiviert, "regedit" läßt sich auch nicht starten
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (4)
  15. "Erkennungsprogramm des Backdoorprogrammes BDS/Papras.GX" - Entfernung nicht möglich
    Log-Analyse und Auswertung - 21.06.2010 (17)
  16. benötige Hilfe bei Trojaner "TR/Virtumod.WS" bzw. "jkkjjgd.dll"
    Plagegeister aller Art und deren Bekämpfung - 07.04.2008 (10)
  17. Brauche Hilfe, wenn möglich schnell, "Only the best" popups
    Log-Analyse und Auswertung - 23.10.2004 (2)

Zum Thema "RegEdit" nicht möglich! Trojaner??? Hilfe!!! - Hallo Ich: WIN XP Pro SP 2 etc... Seit längerem bekomme ich die Meldung beim Versuch, die Registry mit REGEDIT zu öffnen: " Die Registrierung wurde durch den Administrator gesperrt. - "RegEdit" nicht möglich! Trojaner??? Hilfe!!!...
Archiv
Du betrachtest: "RegEdit" nicht möglich! Trojaner??? Hilfe!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.