|
DProtect - regedit: "AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts." Hi allerseits! Ein Super Forum habt Ihr hier. Zusammenfassung: Die Meldung im Betreff will ich loswerden. Details: Auf einem Windows 7 Pro 32bit Rechner, der mir nicht gehört, habe ich geholfen, Malware (qvo6, DProtect, Ask.com Toolbars) zu entfernen. Hier hatte sich übrigens jemand vor kurzem ebenfalls eines der Mistviecher eingefangen: http://www.trojaner-board.de/141253-...ekommen-2.html Es verbleibt im Moment genau ein Registry- Eintrag, den will ich loswerden. regedit.exe zeigt im Registry-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ Einträge für zwei DLLs, die zu DProtect gehören: AppInit_DLLs: C:\Users\ANSTANDSBALKEN\AppData\Local\DProtect\eBP.dll,C:\Users\ANSTANDSBALKEN\AppData\Local\DProtect\eBPSD.dll LoadAppInit_DLLs: 1 Die referenzierten DLLs sind nicht mehr dort, der erste Eintrag ist daher nicht mehr wirksam. Den zweiten Eintrag könnte man verwenden, um den ersten zu deaktivieren - wenn er sich schreiben ließe. Beim Versuch, die Werte der Einträge zu ändern, erhalte ich Meldungen wie diese: "AppInit_DLLs kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts." Leider verrät Windows nicht, welcher Art der aufgetretene Fehler ist (der Wert bleibt jedenfalls unverändert), oder warum das passiert (zum Beispiel dass es eine Policy ist, oder so etwas). Beim Versuch, die Einträge zu löschen, erhalte ich die gleiche Meldung. Weiß jemand, woran das liegt, und wie ich diese Einträge ändern kann? Es gibt Programme, die "wertvolle" Registry-Einträge irgendwie schützen, zum Beispiel meine Firewall. Dort habe ich den Eintrag für den obigen Schlüssel deaktiviert, indem ich die letzte Komponenten in "WindowsAUSGESCHALTET" geändert habe. Das hat leider nicht geholfen. Im oben erwähnten verwandten Thema gibt es einen Beitrag ( http://www.trojaner-board.de/141253-...ml#post1156187 ), in dem enthält eine der Log-Dateien eine Meldung ("HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs => Error setting value."), die zeigt, dass der Registry-Schlüssel auch dort schreibgeschützt ist. Das wiederum könnte heißen, dass die Malware selbst versucht, diesen Schlüssel vor Veränderung (und Reinigung) zu schützen. Oder derjenige hat ebenfalls einen Schutzmechanismus, der ihm dazwischenfunkt. :-/ Ich habe auch schon probiert, den Eintrag im abgesicherten Modus zu entfernen. Das schlägt mit der gleichen Meldung fehl. Und ich habe es mit dem "Computerreparatur"-Modus versucht (entspricht Recovery Console?). Dort erscheint der Registry-Wert von AppInit_DLLs leer - dann kann ich auch nicht versuchen, ihn zu leeren. Anscheinend ist das eine eigene Windows-Instanz, mit eigener Registry. Im Moment habe ich keinen Anlass, anzunehmen, dass noch ein Schädling "aktiv" ist. Für die, die es trotzdem interessiert, hier meine Notizen, was ich alles gemacht habe: === QVO6 / DProtect Trojaner ==== DProtect deinstallieren -> Ohne Erfolg => Darum ist es Malware. Verzeichnis entfernen -> einige Dateien werden noch verwendet ==== Eine Ask Toolbar deinstalliert - es gab aber zwei Einträge. ==== Die zweite Ask Toolbar deinstallieren -> geht nicht, Uninstaller macht einen Rollback. Es kommt eine französische Meldung, ich möchte bitte vorher folgende Programme beenden oder deinstallieren - aber da folgt keine Liste. Auf dem Rechner finden sich einige Verzeichnisse mit Namen, die mit "APN" beginnen. In einem dieser Verzeichnisse befanden sich Log-Dateien, die auf "Ask.com" und deren Toolbar verweisen. Alles gelöscht. ==== FTDownloader deinstalliert ==== Java 7 deinstalliert Da ich den Verdacht hatte, dass die Ask.com-Toolbar mit der Java-Installation mit installiert wurde. ==== Java 6 gelöscht Hatte geglaubt, dass es für Java 6 keinen Eintrag unter "Installierte Progamme" mehr gegeben hatte. Das war falsch, es gab noch einen Eintrag, aber leider vermultich nicht direkt neben dem alten. Java 6 heißt einfach "Java 6", Java 7 heißt vielleicht "Oracle Java 7" oder so. ==== 1. Spybot Scan, Funde reparieren lassen ==== Registry nach DProtect durchsucht, Vorkommen entfernt. Neustart ==== 2. Spybot Scan während Windows-Start, reparieren lassen Neustart ==== Internet Explorer zurückgesetzt ==== Firefox neu runtergeladen und neu installiert Ja, den kann man auch zurücksetzen, aber ich traute der installierten Version nicht, da ich vermute, dass qvo6 bzw. DProtect mit dem Firefox-24-Installer auf das System gelangt sind. ==== Verzeichnis DProtect umbenannt und in "Quarantäne" verschoben ==== Service DPService deaktiviert ==== Resistente Registry-Schlüssel Siehe oben in der Problembeschreibung. ==== 3. Spybot Scan, einzigen Fund (IE-"Tabs"-URL = qvo6-URL) reparieren lassen ==== CCleaner laufen lassen ==== Vorkommen aus Registry entfernt: * qvo6 * DProtect - bis auf AppInit_DLLs :-( * AskToolbar * ask.com => Leider gibt "Task.Completion" und xyztask.com auch Treffer. - Treffer für APN (-Updater) * APN ("ganze Zeichenkette", da sonst zu viele Einträge gefunden werden, in denen "apn" nur zufällig vorkommt) * Toolbar (keine ungewollten Funde mehr) Einen Virenscanner habe ich auch mal auf den DProtect gehetzt, aber die sind ja wählerisch, und interessieren sich eher selten für "Toolbars". :-/ |
Hallo, mach bitte einen FRST-Scan: Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
> Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt Das habe ich so interpretiert, dass ich beim (ersten) Scan auch "Addition" ankreuze. Hier die Scan-Ergebnisse: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 22-10-2013--- --- --- ==== Addition.txt Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 22-10-2013Die Aufgabenplanung lässt sich nicht starten, da der Aufgabenplanungsdienst deaktiviert ist (hatte ich nach Windows-Installation deaktiviert, da wir den nicht brauchen). Der Aufgabenplanungsdienst lässt sich allerdings nicht mehr aktivieren, in den Eigenschaften des Diensts ist die Ausklappliste ausgegraut. Keine Ahnung, warum. An Abhängigkeiten von anderen Diensten liegt es jedenfalls laut der Liste in den Dienst-Eigenschaften nicht. ==== Admin-Rechte Den DProtect hat vermutlich NUTZER2 installiert. Der hat aber gar keine Admin-Rechte. Warum ließ Windows überhaupt zu, dass NUTZER2 Programme installiert? Hm, sieht insgesamt nicht so gut aus. Ich tendiere zu einer Windows-Neuinstallation. |
Hi, Zitat:
Ansonsten so weiter: Schritt 1 Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 2 Scan mit Combofix
Schritt 3 Starte noch einmal FRST.
Bitte poste in deiner nächsten Antwort:
|
OK, noch ein Versuch vor evtl. Neuinstallation. Habe alles gemacht, unten die Logs. Sehr erfreulich, dass die Registry-Schlüssel, die ich nicht schreiben durfte, nun verschwunden sind: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\: AppInit_DLLs und LoadAppInit_DLLs sind weg. Leider weiß ich nicht, ob ADWCleaner oder Combofix das repariert hat, in den Logs der beiden sehe ich auf Anhieb nichts diesbezügliches. Weiß jemand, welcher von beiden das war? AdwCleaner hat was gefunden, insbesondere die IE-Verknüpfungen sind mir entgangen. Unangenehm auch, dass die Neuinstallation von Firefox nicht alle Profile gereinigt hat, bei NUTZER2 war immer noch die qvo6-URL drin (oder wieder? NUTZER2 hat sich seit der Infektion nie eingeloggt). Hoffentlich war das nur das "alte", aber nun ungenutzte Profil. ComboFix hat beim Start, bevor das blaue Terminal-Fenster kam, einen Fehler gemeldet: http://i.imgur.com/3UAmbvp.jpg Habe auf "Ja" gedrückt, es lief dann anscheinend normal weiter. Vielen Dank für die Anleitung. AdwCleaner[S0]anonymized.txt: Code: # AdwCleaner v3.011 - Bericht erstellt am 07/11/2013 um 09:11:22Code: ComboFix 13-11-04.01 - VERWALTER 07.11.2013 9:36.1.4 - x86FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 31-10-20132013-11-07-11-07-Addition-anonymized.txt: Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 31-10-2013 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board
WARNUNG an die MITLESER: