Hallo
Ich: WIN XP Pro SP 2 etc... Seit längerem bekomme ich die Meldung beim Versuch, die Registry mit REGEDIT zu öffnen: "Die Registrierung wurde durch den Administrator gesperrt." Das ist aber falsch. Ich bin der Administrator, habe noch das Gast-Konto eingerichtet und habe sonst nix deaktiviert.

Im abgesicherten Modus (als Administrator) und nach Scan mit Ad-Aware entferne ich regelmäßig 8-10 kritische Objekte. Danach komme ich auch wieder in die Registry. Und der Wert bei HKCU\Software\WINDOWS\CurrentVersion\Policies\System\DisableRegistryTools steht auf "0". So wie es sein soll. Doch nach dem Neustart im normalen Modus steht er wieder auf "1" (siehe Ziffer 07 des Log-File) und ich komme nicht mehr in die Registry... Und es kommt auch zu Systemabstürzen!!! Ist das ein Backdoor-Trojaner??? Wie bekomme ich ihn weg??? Wie krieg ich da 'ne "1" hin...Brauche dringend Hilfe!!!

Vielleicht sind ja noch mehr Fehler drin:

Hier mein Log-File von HiJackThis
Logfile of HijackThis v1.99.1
Scan saved at 18:17:38, on 18.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\tunebite\tunebite.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\winadm.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\SEMon21.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\WINDOWS\System32\svchost.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
C:\WINDOWS\system32\winadmd.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe
C:\Norman\bin\niu.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Jörg Seidel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Startup: SmartSurfer_0.lnk = C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Call Tray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 721 Monitor.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot

Sonderedition\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot

Sonderedition\plmg.exe (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -

http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093185142237
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe

Danke für eure Hilfe....
Gruß an Alle

Hi,
mit dem O7-Eintrag hast Du recht.
Fixe mit HJT den Eintrag bei deaktivierter Systemwiederherstellung im abgesicherten Modus.
Boote neu und schalte die Systemwiederherstellung wieder an.
Schau nach, ob der Eintrag weg ist.
Kennst/willst du die folgenden:
Sonderedition\plmg.exe (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
Wenn nicht, ebenfalls fixen.
Dann bitte neues Logfile posten.
cacatoa

Hi Cacatoa...
Danke für deine Hilfe - hat aber leider nicht geklappt... Ich kam zwar nach dem Fixen der Zeile 07 in die Registry, aber nach dem Booten war Zeile 07 wieder da
Da scheint also irgendwo etwas im System zu stecken, das die Zeile in die Registry jedesmal neu einträgt... Oder sehe ich das falsch..?

Hier nun der neue Log nach dem Fixen. 07 ist immer noch dabei!
Vielleicht findet du oder die anderen noch etwas anderes..
Bin sehr dankbar für jede Hilfe!!!

Logfile of HijackThis v1.99.1
Scan saved at 21:18:38, on 19.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\tunebite\tunebite.exe
C:\WINDOWS\system32\winadm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\SEMon21.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winadmd.exe
C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jörg\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = **** ****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *********
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Startup: SmartSurfer_0.lnk = C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Call Tray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 721 Monitor.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot Sonderedition\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot Sonderedition\plmg.exe (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093185142237
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FE4923C-C5F4-4EFA-9C93-0F877A7418C0}: NameServer = *******
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe

Moin, joseba,
hast du es genau so gemacht:
Fixe mit HJT den Eintrag bei deaktivierter Systemwiederherstellung im abgesicherten Modus?
cacatoa

Hallo cacatoa...
...ja, alles so gemacht wie beschrieben. Nach dem Fixen der Zeile 07 komme ich aber immerhin in die Registry. Sowohl im abgesicherten, als auch im normalen Modus. Kann man da nicht irgend etwas drehen?

Bevor ich also die Systemwiederherstellung wieder aktivieren kann, muß ich ja aus dem abgesicherten Modus raus und neu booten. Und genau nach dem Bootvorgang ist schon wieder die Zeile 07 eingefügt - noch bevor ich die Systemwiederherstellung aktivien kann... Also ein ewiger Kreislauf, und ich weiß nicht, wie ich im Bootvorgang das Einfügen dieser Zeile verhindern kann.

Daneben scheint ja auch noch irgendwo der Trojaner zu stecken. Hast du eine Ahnung wo?

Danke, jedenfalls schon mal für dein Hilfe...
Gruß
joseba

Hi, joseba,
bitte führe genau nach der Anleitung einen eScan aus und poste das Ergebnis.
(Dauert ca. ne gute Stunde)
Mich wundert, daß du den Eintrag nicht wegbringst; das Problem hatten wir schon öfter - und dann auf diese Art gelöst.
cacatoa

Sorry, hab mich vertan

Hallo, da bin ich wieder...
... Wie du siehst habe ich heute Morgen nun nach Anleitung den eScan mit MWAV durchgefürt (fast 2,5 Stunden)!!!

Hier nun das Ergebnis der MWAV.LOG-Datei. Bitte schaut doch mal:
Übrigens: NORMAN ist mein Lizensierter Virenscanner... Kann ich die Datei einfach so löschen?
Und die Meldung mit der System32-Datei (cmd.ftp) ist wirklich 2mal im Log eingetragen. Da scheint ja was im System zu stecken oder?

Bin für jede Hilfe dankbar.

Hier der Log:

Wed Feb 22 11:36:43 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.u" Virus! Action Taken: No Action Taken.

Wed Feb 22 11:36:48 2006 => Offending Key found: HKLM\Software\kazaa !!!
Wed Feb 22 11:36:48 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Feb 22 12:16:38 2006 => File C:\Norman\Temp\NIP\VIRUS\debug1.txt infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.

Wed Feb 22 13:25:31 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.u" Virus! Action Taken: No Action Taken.

Hi, joseba,
leere mal den Quarantäne- oder Infected-Ordner von Norman.
C:\WINDOWS\system32\cmd.ftp ist der Sasser-A. Hier ein Sasser.A removal tool.
Probiers und melde dich wieder.
cacatoa

Hi...
Danke für die Tipps!
Der Qarantäne Ordner in NORMAN war leer! Da war nix zu löschen..

Habe mir das Removal-Tool gegen Sasser.A runtergeladen. Kann es leider nicht installieren. Bekomme folgende Fehlermeldung:

"Setup has detected, that the Sevice Pack Version of this system in newer, than the update you are applying."

Gibts noch andere Möglichkeiten???
Z.B. Kann man diese Dateien irgendwo hochladen und online prüfen und säubern lassen???

Gruß
Joseba

Hi,
sorry, du hast ja SP 2 drauf; da ist das removal nicht notwendig. Die DAtei ist also ein Relikt; deshalb bitte manuell löschen:
C:\WINDOWS\system32\cmd.ftp
das Norman temp-file kannst du löschen, wenn es Norman icht schon gemacht hat.
cacatoa

so ich hab zwar keine ahnung von allem
aber falls du und ich betone falls du xp-antispy benutzt solltest du nachsehen ob du dort nicht regedit deaktiviert hast


lg
der noob^^

Zitat:

Zitat von cacatoa

Hi,
...bitte manuell löschen:
C:\WINDOWS\system32\cmd.ftp
...
cacatoa

Hallo..
meinst Du, ich kann die Datei wirklich einfach so löschen? Immerhin steht sie im System32-Ordner...

Gruß
Joseba

Zitat:

Zitat von DonMega

so ich hab zwar keine ahnung von allem

Und warum postest Du dann überhaupt

@joseba

Folge der Anweisung von Cacatoa. Brauchst keine Sorgen zu haben.

@ felix1:
thx
@ DonMega:
Ein Blick auf das HJT-Logfile hätte Dir gezeigt, daß er es nicht nutzt...
cacatoa