kann keine Programme mehr ausführen

#16 ja hab ich probiert. geht nicht.

weder mit noch ohne .exe am ende :-(

#17 Ok neuer Versuch

Erstelle mal eine neue Textdatei . ANem egal

Markiere Sie im Explorer

Rechtsclick auf die Datei
Wähle "Öffnen mit"
"Programm auswählen"
Dann wähle C:\windows\system32\regedt32

Jetzt sollte die Registry zu sehen sein
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#18 komischerweise nicht möglich. er macht "gar nix". das heisst er schreibt war den registry editor in das "öffnen mit" menü rein. aber ich kann es nicht öffnen.

bekomme auch keine fehlermeldung.

im task manager seh ich unter systemleistung nur, dass sich kurzfristig die % erhöhen sonst nix.

#19 OK nächster Versuch

benenne die regedit.exe in regedit.com um
probiere dann die Datei zu starten.
Dort sollte dies stehen

Zitat

Schlüssel: hkey_classes_root\exefile\shell\open\command
dieser sollte imho drinstehen als standard: "%1" %* <--- genau so!

odre hier
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="\"%1\" %*"

[\Quote]

Wenn's nicht klappt
http://vil.nai.com/vil/stinger/ Dort die Stinger.exe runterladen und starten

__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#20 HijackThis funktioniert doch oder ??

Vorher den InternetExplorer schließen

Dann fix doch einfach mal das

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - system.ini: Shell=Explorer.exe SMSSdd.exe
F2 - REG:system.ini: Shell=Explorer.exe SMSSdd.exe
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem214.dll
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\SMSSdd.exe

Hier ist der Böse Bube
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

und starte neu

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#21 also das hijack tool funzt nur, weil ich es über das zip starte. wenn ich es entpacke und doppelklick aufmachen will geht es auch net.

so ich hab aber jetzt deine änderungen gemacht.
regedit.exe auf .com geändert - ändert auch nix, nur dass ich den hinweis bekommen, dass svchost nicht gefunden werden kann :-(

dann hab ich die sachen gefixt. jetzt kommt beim start nicht mehr der hinweis,dass die smsdd.exe nicht gefunden werden kann.

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 16:13:15, on 30.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Ikarus\GuardNT\GuardNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Hieger\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=129474
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=129474
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=129474
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.10.5:3128;http=192.168.10.5:3128;https=192.168.10.5:3128;socks=192.168.10.5:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O1 - Hosts: 212.227.126.13 lyra
O1 - Hosts: 212.227.126.5 lyra2
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: pdfMachine - {0E1230F8-EA50-42A9-983C-E22ABC2EED3F} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgstb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Guard NT] C:\Ikarus\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04dddf6353279a834306/netzip/RdxIE601.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38080.4053935185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/ieplug.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_Ser*hier nicht!*.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{440BBC22-D50F-4A99-A2C6-2F44C14B6CC5}: NameServer = 192.168.10.11

vielleicht kannst du noch was rausfinden?

danke
markus

#22 Jetzt sollte die regedt32 oder regedit aber funktionieren

Gruß paff

P.S.
Ich schau inzwischen mal was noch gefixt werden soll
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#23 Ok das noch Fixen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=129474
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=129474
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=129474
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O1 - Hosts: 212.227.126.13 lyra
O1 - Hosts: 212.227.126.5 lyra2

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04dddf6353279a834306/netzip/RdxIE601.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/ieplug.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_Ser*hier nicht!*.cab


Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#24 die regedit kann ich noch immer nicht öffen.

hab jetzt mal den stinger gezogen und lass ihn gerade laufen. geb dann bescheid was rausgekommen ist :-

danke
markus

#25 Lass den Stinger auch mal im Abgesicherten Modus laufen

und poste mal das logfile des Stingers.(Wenn er was gefunden hat )

Kannst auch mal den neusten CWShredder ausprobieren
http://www.computercops.biz/downloads-cat-14.html

Ich glaube die Antwort auf dein Problem steht irgendwo hier
http://www.pchell.com/support/look2me.shtml
(Ist nur eine Vermutung)

Gruß paff

P.S.
Muß mich jetzt leider verabschieden. Ich schau aber heute nacht nochmal rein.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#26 hallo,

erstmals wieder ein danke für deine/eure bemühungen.

ich hab jetzt alle tools im abgesicherten modus laufen lassen und er hat nix gefunden.

egal ob abgesichert oder normal kann ich keine exe files direkt ausführen. bestimmte files kann ich über das winace starten. das heißt ich packe die exe file in ein .zip file - öffne das zip file und kann das jeweilige programm mit doppelklick öffen.

beim regedit geht dies jedoch nicht. wenn ich die .exe auf .com umbenne bekomm ich den fehler, dass svchost nicht gefunden wird.

wenn du noch eine idee häst, wär ich voll happy - sonst muss ich wohl formatieren :-(

danke
markus

#27 Hi Hieger

Hatte leider dieses Wochenende keine Zeit mehr.

Hast du das Problem immernoch oder schon Formatiert.
Wenn Problem noch besteht dann melde dich mal, dann schauen wir nochmal weiter.
Am besten 'ne "Private Mail" schicken.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#28 @Hieger

Habe nochwas gefunden.
Dieser Hijacker diabled die Möglichkeit der "registry"Benutzung
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=HTML_STARTPAGE.C

Also das hier in einer text-Datei speichern

Zitat

REGEDIT4
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System
"DisableRegistryTools" = dword:00000000

Datei in RESTORE.REG umbenennen und doppelklicken
Mit Ja bestätigen, danmn sollet Registry wieder funktionieren

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#29 Hallo Zusammen!

Ich habe ebenfalls das Problem mit der taskmgr.exe und der regedit.exe.
War irgendeine Malware, die ist bereits entfernt. Mein WinXP ist sauber dank Bitdefender und AdAware.
Leider hab ich gegen mein Problem im Netz noch gar nichts gefunden, bin schon den ganzen Tag am Foren-Lesen.

Wenn ich die beiden Dateien in taskmgr.com und regedit.com umbenenne, kann ich sie mit Doppelklick starten. Nur als exe gehen sie nicht, ich bekomme eine Fehlermeldung "taskmgr.exe konnte nicht gefunden werden".

In der Registry hab ich nichts gefunden mit "deactivate" oder "disable", bei HKEY_LOCAL_MACHINE\..\image file execution\taskmanager.exe ist unter Debugger als Wert eine Null eingetragen, und bei gpedit.msc ist auch nichts auf Admin gestellt.

Hat jemand eine Idee, wie ich das wieder geradebiegen kann??

Beste Grüße,

val

#30 Nutze einmal Mbam, das sollte einiges beseitigen koennen...

http://board.protecus.de/t23188.htm

und dir ist schon klar, das du auf ein fast 5 Jahre alten Thread antwortest? Haettest auch einen eigenen neuen erstellen koennen!
__________
MfG Ralf
SEO-Spam Hunter