Nachdem ich glaubte, meine Viren/Wurm-Probleme mit W32.Tibick schob gelöst zu haben, muss ich mich leider immer noch damit
rumplagen.
Die Vorgeschichte:
- wollte ein paar Dateien von meinem PC auf meinen Laptop kopieren
- Norton AV (auf dem Laptop) schlug Alarm: Virus W32.Tibick gefunden
- alle Anti-Virus-Maßnahmen auf dem PC schlugen fehl: Norton ließ sich nicht starten, bestimmte Internet-Seiten nicht mehr aufrufen
(symantec, kaspersky, f-secure, windowsupdate u.v.a.), Windows Firewall konnte man nicht aktivieren, Registry ließ sich nicht öffnen. Alles,
was gegen Viren irgendwie helfen könnte, war also blockiert.
- nach Hilfe in diesem Forum auch HijackThis und eScan probiert, aber auch diese Programme wurden blockiert (auch nach Umbenennen
der Startdateien)
- im abgesicherten Modus und nach Beenden aller Hintergrundprozesse (sofern möglich) liefen diese Programme dann aber. Norton und
eSecure fanden viele mit Tibick infizierte Dateien. Viren gelöscht. Mit HijackThis sämtliche kritische Einträge entfernt. Auch in die Registry
konnte ich wieder rein.

Mehr oder weniger erleichtert habe ich dann wieder normal gebootet und dachte, es sei jetzt mehr oder weniger alles in Ordnung (hab ja
schließlich alle Viren gelöscht), aber dem war und ist leider nicht so.

Nach dem Neustart von Windows waren wieder sämtliche Anti-Viren-Programme und Anti-Viren-Internetseiten blockiert (s.o.), auch im
abgesicherten Modus. Knackpunkt war der Hintergrundprozess „chkconf.exe": Wenn ich „chkconf.exe" beendet habe, waren diese
Blockierungen weg, d.h. dann konnte ich auch wieder Anti-Viren-Programme starten. Norton AV und eScan (mit neusten Updates) fanden
und finden aber jetzt keine Viren mehr.
Um den Prozess chkconf.exe dauerhaft auszuschalten, habe ich mit HijackThis alles, was offenbar damit zu tun hat, gefixt. Dies waren
folgende Einträge:
F2 - REG:system.ini: Shell=Explorer.exe,chkconf.exe –shell
O4 - HKLM\..\Run: [DriveService] chkconf.exe –services
O4 - HKLM\..\RunServices: [DriveService] chkconf.exe -services
O4 - HKCU\..\Run: [DriveService] chkconf.exe –drivers
Beim Neustart war aber wieder alles beim Alten, die zuvor gefixten Einträge waren nach einem Neustart wieder da. Also das gleiche noch
einmal: Wieder in HijackThis die betreffenden Einträge gefixt. Und plötzlich wurde beim nächsten oder übernächsten Neustart die Datei
chkconf.exe nicht mehr geladen.

So weit, so gut. Es gibt aber immer noch Probleme:
1) Ich kann nicht in die Registry. Es erscheint jedes Mal die Meldung „Das Bearbeiten der Registrierung wurde durch den Administrator
deaktiviert" , auch wenn ich es im abgesicherten Modus versuche (ich bin als Administrator angemeldet).
2) Ich kann mit Norton Anti-Virus zwar eine Virenprüfung machen, aber Auto-Protect ist in Norton leider ausgeschaltet und lässt sich nicht
mehr aktivieren. Klicke ich auf dem Eingangsbildschirm von Norton AV („Systemstatus") auf „Aktivieren", tut sich nichts. Dasselbe, wenn
ich über die Einstellungen gehe: Wenn ich dort bei „Auto-Protect aktivieren" ein Häkchen mache (klappt), auf OK klicke und dann wieder in
die Optionen reingehe, ist das Häkchen wieder weg.
3) Was mache ich mit der mysteriösen Datei „chkconf.exe", die offenbar für die weiter oben beschriebenen Blockierungen sorgte? Diese
befindet sich im Verzeichnis c:\windows\system32. Was soll ich damit machen? Einfach mal löschen? Oder kann man die irgendwie
analysieren?

Was würdet Ihr mir raten?

Danke schon mal!

andihu

Ich würde da nochmal gerne Shadowdance zitieren-ich mein, sie hats dir ja schon mal empfohlen,und nicht zu Unrecht:

Zitat:

Zitat von Shadowdance

Ich betrachte Dein System als komplett verseucht und empfehle Dir analog dieser Beschreibung vorzugehen: die 10 Schritte-Lösung (http://board.protecus.de/showtopic.p...me=1097944155&) bzw. analog Hilfestellung und Beratung (http://www.trojaner-board.de/showpos...8&postcount=12)

Gruss

Cronos

Ich wills halt noch nicht richtig wahrhaben. Kann denn niemand mit der Datei "chkconf.exe" was anfangen? Oder mit der Meldung "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert"? Klar, das System neu aufsetzen, ist immer das sichersten, aber eben auch am aufwendigsten. Und vielleicht hat ja noch jemand einen Tipp.