SpyLocked aus der "Registry" entfernen?

#1 Hallo,

ich hatte vor ein paar Monaten ein Problem mit "SpyLocked 3.9", in der Taskleiste neben der Uhr war ein gelbes, dreieckickes "Icon"; SpyLocked 3.9. Das G-Data AVK hat nicht geholfen. Nach einem Scan mit Spybot S&D war das Problem anscheinend erledigt. Das Icon war weg.

Jetzt hatte ich "Autoruns Version 8.7" heruntergeladen, damit prüft man welche Programme beim Start ausgeführt werden. Dort habe ich dann unter "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" folgendes entdeckt:

"SpyLocked 3.9" File not found:
C:\Programme\SpyLocked3.9\SpyLocked 3.9.exe

Als ich diesen Eintrag gelöscht habe kam nach dem "Reboot", eine Meldung von G-Data:
Die Anwendung "System settings protector" versucht
die Registrierungsdatenbank zu ändern.

Möchten Sie die Änderung zulassen?

Eintrag: Software\Microsoft\Windows\CurrentVersion\Run\
Schlüssel: SpyLocked 3.9

Information:
Dieser Eintrag bindet eine neue Anwendung ein, die beim Start des Systems ausgeführt wird

Wenn ich "nein" drücke kommt diese Meldung gleich 5-6 mal hintereinander. Parallel meldet sich dazu auch noch "Spybot S&D" mit diesem "Resident"- Permamenter Schutz von Sytemeinstellungen" und warnt wie auch G-Data dass versucht wird die Registry zu ändern.
Hier ein Auszug des Resident- Protokoll:

Code

2007-08-09 00:11:24 Verweigert value "SpyLocked 3.9" (new data: "")   gelöscht in System Startup global entry!
2007-08-09 00:11:28 Verweigert value "SpyLocked 3.9" (new data: "") gelöscht in System Startup global entry!
2007-08-09 00:11:32 Verweigert value "SpyLocked 3.9" (new data: "") gelöscht in System Startup global entry!
2007-08-09 00:11:36 Verweigert value "SpyLocked 3.9" (new data: "") gelöscht in System Startup global entry!
2007-08-09 00:11:40 Verweigert value "SpyLocked 3.9" (new data: "") gelöscht in System Startup global entry!

Nachdem ich 5-6x auf "Nein" bei der "Resident-Warnung" drücke verschwindet die Warnung. Erst wenn ich einen Neustart mache fängt alles wieder von vorne an. Wenn ich dagegen gleich auf "JA" drücke kommt keine Warnung mehr, das ist aber kein Zustand für mich.
in der Registry bin ich diesem Pfad gefolgt:

Code

HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN

Name                Typ          Wert
SpyLocked3.9    REG_SZ    "C:\Programme\SpyLocked 3.9\
                                         SpyLocked 3.9.exe" /h

Meine Frage ist ob ich diesen Eintrag dauerhaft löschen kann, wenn ich
ihn "links-Klicke" und dann bei Löschen bestätige? Meine Sorge ist das ich an der Registry was verpfusche und es dazu noch verschlimmere.
Vielleicht kann mir ja jemand weiterhelfen.

Ciao
paxpei
[/b]

#2 Hi,

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SpyLocked 3.9

Files to delete:
C:\Programme\SpyLocked3.9\SpyLocked 3.9.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

(Prüfe ob der Key richtig geschrieben ist!)
Schalte den Teatimer und den Regschutz von AVK kurz für die
Korrektur aus...

Interessanter ist, wer versucht den Key wieder zu schreiben...?

Chris

#3 Hi,

danke für die schnelle Antwort. Was meinst Du mit: Wer versucht den Key zu schreiben?
Ist es "SpyLocked" was versucht sich automatisch wieder einzuschreiben, oder wer...?

Kannst Du mir noch`ein Tipp geben was ich machen kann, dass ich den Müll erst gar nicht mehr auf´m Rechner bekomme. Ich meine ausser AVK´s. Ich weiss ein 100% Schutz ist für mich als Laie sicherlich schwer machbar, aber vielleicht gibt es noch speziellere Programme welche die "Registry" schützen können.

Den "Link" werde ich gleich mal anklicken.

Danke Dir
paxpei

Edit:
Endlich scheint "SpyLocked 3.9" erledigt zu sein. Hoffe das bleibt auch so.
Nachdem ich Spybot S&D verwendete hatte ich auch schon gedacht es sei
erledigt. Scheint hartnäckig zu sein! Welcher "Freak" sich das wohl
ausgedacht hat! @Chris4You, danke! War ein echt guter Tipp u. vor allem
auch für Anfänger machbar.

Hier ist noch das Logfile.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sakvbtfk

*******************

Script file located at: \??\C:\wyrwbaen.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Programme\SpyLocked3.9\SpyLocked3.9.exe for deletion
Deletion of file C:\Programme\SpyLocked3.9\SpyLocked3.9.exe failed!

Could not process line:
C:\Programme\SpyLocked3.9\SpyLocked3.9.exe
Status: 0xc000003a

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SpyLocked 3.9 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.