Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Die Registry (regedit) kann nicht mehr aufgerufen werden

Sigi Saudi / 10 Antworten / Baumansicht Nickles

Ich hatte das Problem mit dem gesperrten Task Manager eingebracht in die Diskussion und ich erhielt einen registry Eintrag, mit dem man den Task Manager wieder aktivieren kann.
Der Registry Link wuerde wahrscheinlich das Problem loesen, nur, wenn ich mit Start/Ausfuehren mit "regedit" als Programname arbeite, gibt das die gleiche Message wie schon beim Task Manager:
regedit vom Administrator disabled.
Da hat ein Virus ganze Arbeit geleistet.
Die Vorgeschichte ist wie folgt:
Ich besuche meinen Neffen in Thailand.
Er klagt, sein Computer arbeitet nicht mehr.
Ich schalte ein, es kommt nach dem Hochfahren nur das Wallpaper und sonst nichts.
Der Explorer laesst sich auch nicht oeffnen.
CTRL/ALT/DELETE funktioniert nicht, vom "Administrator", wer immer das ist, disabled. (Ich hatte mich als Administrator eingeloggt)
Mit der Rescue Disk mache ich eine Neuinstallation von Windows XP mit Format C eingeschlossen.
Alles funktioniert.
Mein Neffe installiert seine Spiele (einige dutzend).
Wieder funktioniert CTRL/ALT/DELETE nicht mehr und regedit laesst sich nicht aufrufen (Administrator Sperre).
Wahrscheinich ist eins seiner dutzende Spiele ein Virus, denn das Internet hatte ich fuer den Computer bisher total abgeschaltet.
Von daher kann der Mist nicht kommen, weil unplugged.
Ich koennte jetzt XP wieder neu nstallieren, die Spiele einzeln aufbringen und mal schauen, nach welcher Installation CTRL/ALT/DELETE nicht mehr funktioniert und dann XP neu installieren, ohne dieses Spiel, aber das wuerde zu lange dauern.
Ausserdem gehe ich stark davon aus, wenn ich den Taskmanager wieder aktiviere, habe ich den Schaedling. Der Programmname wird dann im Task Manager zu finden sein, sonst gaebe es keinen Grund fuer die aufwendige Task Manager/Regedit Sperre.
Meine Frage, wie kann ich als Administrator die Administrator Sperre fuer Regedit wieder aufheben???
(Weihnachts?)-Gruss aus Thailand
Sigisaudi

shrek3 Sigi Saudi „Die Registry (regedit) kann nicht mehr aufgerufen werden“
Optionen
Ausserdem gehe ich stark davon aus, wenn ich den Taskmanager wieder aktiviere, habe ich den Schaedling.

???
Das Aufrufen des Task-Managers aktiviert ganz nicht bestimmt den Schädling.
Umgekehrt ist es richtig: der (vermutlich) durch das Spiel aktivierte Schädling deaktiviert den Task-Manager.

Meine Frage, wie kann ich als Administrator die Administrator Sperre fuer Regedit wieder aufheben???
Überhaupt nicht, solange du nicht weißt, um welchen Schädling es sich handelt und solange du nicht weißt, ob und wie er zu beseitigen ist.
Solange, wie dieser Schädling auf der Festplatte ist, solange wird er spätestens nach jedem Neustart alle Bemühungen wieder zunichte machen.

Du versuchst, dir Arbeit am falschen Ende einzusparen.

Was du stattdessen machen kannst:

1. Über Google den Namen der jeweiligen Spiele eingeben, um anhand der Suchergebnisse festzustellen, in welchen Zusammenhängen davon die Rede ist.
Dadurch lässt sich die Spreu besser vom Weizen trennen.
2. Nach der XP-Installation mit Acronis True Image die Installation sichern, bevor du Spiele installierst.
Dann die eher unbedenklichen Spiele aufspielen. Falls alles okay ist, erneut sichern.

Gruß
Shrek3
Sigi Saudi shrek3 „ ??? Das Aufrufen des Task-Managers aktiviert ganz nicht bestimmt den...“
Optionen

Nein, Shrek3, ich meine nicht, dass der Task Manager den Schaedling aktiviert. Der Task Manager ist passiv, der zeigt nur an.
Was ich vermute, oder besser gesagt: hoffe ist, dass ich nach dem Aufrufen des Task Managers dort den Programmnamen des Schaedlingsprogramms finde. Danach kann ich das Programm moeglicherweise im Safe Mode oder auf DOS Prompt Ebene von der Festplatte loeschen.
Darauf hoffe ich.
Der Schaedling hat sich wahrscheinlich ueber die Registry in den Startup eingeklinkt, dass man normal nicht an ihn herankommt.
Das hat er so gruendlich gemacht, dass die beobachteten Fehlfunktionen auch im einfachsten Safe Mode wirksam sind.

Die Eingabe der Spielenamen in Google ist fuer mich auch problematisch, da die Namen im Thai-Alphabet (44 Konsonanten, 30 Vokale) geschrieben sind.
Ich muss die Registry wieder frei kriegen, damit ich ueber den re-aktivierten Task Manager moeglicherweise an den Programmnamen herankomme.
Mal schaun.
Gruss
SigiSaudi

shrek3 Sigi Saudi „Nein, Shrek3, ich meine nicht, dass der Task Manager den Schaedling aktiviert....“
Optionen

Du glaubst, dass du einen komplex arbeitenden Schädling, (der zu 99% mehr bewerkstelligt hat, als lediglich das Aufrufen des Task-Managers und der Registry zu unterbinden), durch einfaches Löschen eines sichtbaren Prozesses (der sich womöglich auch noch im Ordner Windows\System32 befindet) beseitigen kannst?

Schau mal lieber auf ein paar Seiten, in dem es um ähnlich "deaktivierende" Programme geht:
http://www.wintotal-forum.de/index.php/topic,84123.0.html
http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html
Dagegen hilft nur ein Bündel von Maßnahmen...

Anmerkung zur Beseitigung des in diesen Links erwähnten Schädlings:
Ich habe spaßeshalber einen Kunden-PC mal mit Hilfe mehrerer Workarounds im Internet davon zu reinigen versucht.
Nach ca. 8 Std. hatte ich das ganze Prozedere abgearbeitet und hätte jetzt noch 1-2 Wochen den PC ausgiebig testen müssen, um sicher zu gehen, dass wirklich nichts davon übrig geblieben ist.
Wohl gemerkt - ich wusste, wie der Schädling hieß und konnte deshalb im Internet nach Anleitungen suchen.

Bei dir (so mein Eindruck) sieht es so aus, dass du nichts über den Schädling weißt, nicht über Google recherchieren kannst (40 Konsonanten, 30 Vokale) und deshalb nichts über die evtl. richtige Vorgehensweise in Erfahrung bringen wirst.

Die Zeiten, in denen irgendwelche Script-Kiddies sich relativ einfache Viren basteln, sind längst vorbei.
Dahinter steckt heutzutage meist organisierte Kriminalität mit z.T. genialen Programmierern.
Deren Schädlinge sind so konzipiert, dass die an der Oberfläche wirkenden Prozesse trotz Löschaktionen spätestens nach dem nächsten Neustart oder dem nächsten Internetaufenthalt wieder vervollständigt werden.

Du kannst es gerne dennoch versuchen - mit entsprechend geringen Erfolgsaussichten.

Gruß
Shrek3

Sigi Saudi shrek3 „Du glaubst, dass du einen komplex arbeitenden Schädling, der zu 99 mehr...“
Optionen

Hallo Shrek3,
Zum Glueck bin ich nicht so pessimistisch wie Du und deshalb konnte ich den Prozessnamen des Virus extrahieren.
Ich fand durch direkte Suche im Internet naemlich die Keys, mit denen man eine Sperre (1) oder eine Unsperre (0) einlegen kann fuer registry und task manager.
Ich fand den Prozess SCVVHSOT, der an anderer Stelle auch unter BLASTCLNNN firmiert.
Ich hab den Prozess aus %system% entfernt (Safe Mode) und habe ihn aus dem Windows Task Scheduler rausgeworfen, wo er fuer 9:00 morgens taeglich gescheduled war.ausserdem nahm ich ihn aus den Startup Routinen (Registry) heraus und killte alle 12 Eintraege dieses Namens in der Registry, und, und, und.
Ueber den Prozessnamen und das Internet (Live Search in Vista) fand ich heraus dass der mist Worm_SOHANNAD.AS heisst und ich fand eine Anleitung zum Entfernen.
Ich war hier in Thailand Up-Country und hatte mein Notebook mit. So konnte ich in aller Ruhe eine Visual Basic Script (vbs) routine schreiben, mit der ich die Registry auch im gesperrten Zustand manipulieren konnte. (Siehe Copy weiter unten).
Es ging dann nicht alles sofort glatt, weil der Wurm eine Shell anstelle des explorer.exe eingetragen hatte, was den Gebrauch des Explorers etwas umstaendlich machte, aber im Prinzip ist der Wurm tot.
Friede seiner Asche.
Ich kann nur nicht begreifen, warum es solcehe, entschuldige den Ausdruck, Arschloecher gibt, die solchen absoluten Dreck in Umlauf setzen. Was hat dieser erstklassige Idiot nun davon, dass ein Student in Thailand seinen PC nicht mehr ordentlich benutzen konnte? Der Bloedmann weiss das ja nicht mal. Wenn sich jemand so profilieren muss, muss er schon sehr weit unten angekommen sein. Aber darueber ist schon genug geschrieben worden. Mit diesen Typen kann man nur Mitleid haben!
Wie sich leicht nachvollziehen laesst, behandert mein Prograemmchen nur die REG_DWORD Werte von DISABLEREGISTRYTOOLS und DISABLETASKMGR, da ist also keine Falle drin.
Ich habe das Prograemmchen mit Mirosoft Frontpage 2003 erstellt und es arbeitet mindestens fuer XP und Vista.
Es stellt immer den jeweils gegenteiligen Zustand ein. War eine Sperre da, wird sie aufgehoben, war keine da, wird eine eingelegt, dann muss das Programm fuer das Aufheben eben noch einmal gestartet werden.

Hier nun das VBS Script:

Dim RTMShell
Dim readCU
Dim readLM
Dim switch
Dim response
Dim pathCU
Dim pathLM
Dim typeDAT
Dim Msg
Dim Title

On Error Resume Next

Set RTMShell = WScript.CreateObject("WScript.Shell")

'*******************************
'* regedit sperren / freigeben *
'*******************************

pathCU = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
pathLM = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
typeDAT = "REG_DWORD"

'Auslesen des REG_DWORD aus der Registry

readCU = RTMShell.RegRead(pathCU)
readLM = RTMShell.RegRead(pathLM)
If readCU = "" then readCU = 0
If readLM = "" then readLM = 0

Msg = "Eingetragener Wert fuer regedit Sperre in HKCU: " & readCU & " " & Chr(10) & _
"Eingetragener Wert fuer regedit Sperre in HKLM: " & readLM & " " & Chr(10) & Chr(10) & _
"Eine 1 bedeutet, regedit war gesperrt"

Title = "REGEDIT Sperre"

response = MsgBox(Msg, vbSystemModal, Title)

Title = " Registry"
switch = 0
If (readCU = 1 Or readLM = 1) Then switch = 1

If switch = 0 Then
Msg = "REGEDIT wurde gesperrt"
RTMShell.RegWrite pathCU, 1, typeDAT
RTMShell.RegWrite pathLM, 1, typeDAT
Else
Msg = "REGEDIT wurde editierbar gemacht"
RTMShell.RegDelete pathCU
RTMShell.RegDelete pathLM
End If

response = MsgBox(Msg, vbSystemModal, Title)

'************************************
'* Task Manager sperren / freigeben *
'************************************

pathCU = "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
pathLM = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"

'Auslesen des REG_DWORD aus der Registry

readCU = RTMShell.RegRead(pathCU)
readLM = RTMShell.RegRead(pathLM)
If readCU = "" then readCU = 0
If readLM = "" then readLM = 0

Msg = "Eingetragener Wert fuer Task Manager Sperre in HKCU: " & readCU & " " & Chr(10) & _
"Eingetragener Wert fuer Task Manager Sperre in HKLM: " & readLM & " " & Chr(10) & Chr(10) & _
"Eine 1 bedeutet, Task Manager war gesperrt"

Title = "Task Manager Sperre"

response = MsgBox(Msg, vbSystemModal, Title)


Title = " Task Manager"
switch = 0
If (readCU = 1 Or readLM = 1) Then switch = 1

If switch = 0 Then
Msg = "Task Manager wurde gesperrt"
RTMShell.RegWrite pathCU, 1, typeDAT
RTMShell.RegWrite pathLM, 1, typeDAT
Else
Msg = "Task Manager wurde freigegeben"
RTMShell.RegDelete pathCU
RTMShell.RegDelete pathLM
End If

response = MsgBox(Msg, vbSystemModal, Title)

Set RTMShell = Nothing

shrek3 Sigi Saudi „Hallo Shrek3, Zum Glueck bin ich nicht so pessimistisch wie Du und deshalb...“
Optionen

Hallo Sigi,

zunächst mal meine Anerkennung vor deinen Batchkenntnissen, mit denen du möglicherweise auch anderen Schädlingen, die den Task-Manager und die Registry sperren können, teilweise in der Ausführung ihrer Aktionen Paroli bieten kannst.

Nur frage ich mich - warum so viel Aufwand, um den Namen eines Schädlings zu ermitteln, den auch du nur dann beseitigen kannst, wenn er bekannt ist und es im Internet eine Anleitung dazu gibt?
Denn das hätte dir z.B.auch ein Virenschutzprogramm sagen können.
Es gibt jede Menge Online-Virenscanner.

Bei allem Verständnis über die Freude deiner Leistung - einen besonderen, allgemein einsetzbaren Sinn, dieses Script einzusetzen, sehe ich dennoch nicht.

Was mich aber interessiert, das wäre ein Zeitvergleich des Aufwands - wieviel Stunden hast du insgesamt gebraucht, bis du mit deiner Vorgehensweise fertig warst?
Mit Imageerstellung und testweiser Spieleinstallation (bei ca. 10 geschätzten Spielen, von denen vermutlich nur eines verseucht war) hätte das Ganze ca. 5 Stunden gedauert:
1x Image anlegen - dann solange Spiele installiert, bis der Schadensfall eingetreten wäre - Image zurückspielen - alle Spiele bis auf das schädliche Spiel installiert.

Gruß
Shrek3

Sigi Saudi shrek3 „Hallo Sigi, zunächst mal meine Anerkennung vor deinen Batchkenntnissen, mit...“
Optionen

Ehrlich gesagt, zeitlich gelohn hat sich der Aufwand nicht. Es ging mir nur ums Prinzip.
Ich wollten den Virus manuell killen. Ausserdem suchte ich eine computerisierte Urlaubsbeschaeftigung, die auch meine Frau akzeptiert.
Ich werde meinem Neffen jetzt eine offizielle Version von Norton Antivirus 2008 installieren und dann sind die Probleme im Griff mit dem Life Update und allem Drum und Dran.
Ich habe wohl insgesamt 15 bis 20 Stunden an dem Problem gearbeitet, ein unverhaeltnismaeesig hoher Aufwand.
Im Kopf hatte ich das Problem staendig.
Aber es ging mir um die Beschaeftigung mit dem Problem, nicht um die effektivste Weise der Beseitigung.
Es ging auch nicht so einfach, wie oben beschrieben.
Die vbs Datei wollte vom Windows Explorer aus nicht laufen, weil der Virus als Ausfuehrungsprogramm fuer VBS den Flash Player startete und eine Aenderung der Zuordnung war icht moeglich.
Deshab installierte ich als Explorer den Total Commander, den ich mir mal wegen diesen albernen Zugriffsbeschrenkungen in Vista gekauft hatte.
Der Total Commander kuemmerte sich nicht um die Windows Explorer Ausfuhrungsprogrammzuordnungen und startete das VBS Programm ordnungsgemaess.
Grundsaetzlich ist eine manuelle Virusbeseitigung nicht zu empfehlen, aber ich wollte auch mal sehen, ob ich es noch kann, auch unter den immer subtiler werdenden Bedingungen des Versteckens des Virus.
Und es hat ja geklappt, auch mit Eurer Hilfe zur Ermittlung der Registry Keys, denn damit beginnen die Probleme meistens.
Gruss
Sgi Saudi

shrek3 Sigi Saudi „Ehrlich gesagt, zeitlich gelohn hat sich der Aufwand nicht. Es ging mir nur ums...“
Optionen
Ausserdem suchte ich eine computerisierte Urlaubsbeschaeftigung, die auch meine Frau akzeptiert
Da haben wir wohl etwas gemeinsam...
Gehörst wie ich wohl auch zu denjenigen, die mit dem Computer verheirateter sind als mit der eigenen Frau. ;-)

Allerdings bin ich auch nicht mit dem selben Computer verheiratet - da habe ich eher einen Harem, zu dem sich alle paar Jahre ein neues Modell hinzugesellt...

Gruß
Shrek3
Sigi Saudi shrek3 „ Da haben wir wohl etwas gemeinsam... Gehörst wie ich wohl auch zu denjenigen,...“
Optionen

Ganz genau so ist es. Ich bin ein Laptop Fan.
Ich habe einen Satellite M30 mit XP, einen Satellite A200 mit Vista (leider), und dann schenkte meine saudische Firma mir noch ein Business Modell, den Dell Latitude mit Vista Professional (ich soll meinen Vertrag noch mal verlaengern und kleine Geschenke erhalten die Freundschaft). habe alle 3 verWI-LANt.

Aber ich habe da noch ein Problem. Vielleicht kannst Du mir da weiterhelfen.
Ich bin ja weltweit (vornehmlich in Asien, die USA kann ich nicht leiden) unterwegs und da arbeite ich mit Skype VoIP, um mit Deutschland in Touch zu bleiben.
Wenn ich von Computer zu Computer mit Skype (oder auch MSN) VoIP mache, ist die Qualitaet mit dem Satellite A200 aeusserst miserable. Die Sprache ist kaum zu verstehen (DSL).
Benutze ich jedoch mit gleicher User ID und gleicher Skype Version am gleichen DSL den Satellite M30 oder den Dell, ist die Qualitaet zufriedenstellend.
Ich habe am A200 schon den Firewall komplett abgeschaltet, aber das war's nicht.
Ich muss wohl mal am Norton Antvirus 2008 rumlaborieren. Vielleicht liegt's daran.

Das Problem mit dem Computer meines Neffens ist nun erledigt. Norton Antivirus fand noch in 7 Dateien einen anderen Virus, den ich noch nicht einmal bemekt hatte. Den SCVVHSOT fand Norton nicht mehr. Den scheine ich manuell komplett gekillt zu haben.
Aber dafuer gab es neue Probleme. Mein Neffe hatte die Windows Rescue Disk und alle Treiber versust und so musste ich Windows XP prof neu kaufen, Aber das war nur die halbe Miete wegen der fehlenden LAN und Grafiktreiber. So musste ich diese erst muehsam bei HP finden, downloaden und installieren.
Ist aber auch geschafft und das Ding arbeitet wieder wie eine eins. Man koennte fast neidisch werden wegen des Dual Processors mit 3.4 GHz fuer beide Kerne. Das kommt meiner mit einem 2,4 GHz Duo nicht mit.
Ein frohes neues Jahr, nun wieder aus Bangkok mit ca 31 Grad Celsius
wuenscht
SigiSaudi

shrek3 Sigi Saudi „Ganz genau so ist es. Ich bin ein Laptop Fan. Ich habe einen Satellite M30 mit...“
Optionen

Hallo Siggi,

zu deinem Problem (Skype-Qualität am Satellite A200) sehe ich diese Möglichkeiten:

1. Nach aktuelleren Treibern suchen. Besonders für den Chipsatz, Sound und LAN, bzw. WLAN.
Download hier:
http://de.computers.toshiba-europe.com/cgi-bin/ToshibaCSG/download_drivers_bios.jsp?service=DE
Zuerst den Chipsatztreiber installieren und neu starten.

2. Ressourcenfresser vom Notebook herunterschmeißen und durch schonendere Programme ersetzen (z.B. keine Security-Suite, sondern lediglich Virenschutz und die Vista-Firewall verwenden).
Besonders Norton ist die Systembremse schlechthin.
Des weiteren Autostartprogramme rausschmeißen - fast alle Programme laufen auch so.

3. XP statt Vista verwenden. Sollte den Laptop weniger stark beanspruchen, so dass Skype besser läuft.
Toshiba stellt jedenfalls für die A 200-er Serie XP-Treiber zur Verfügung.

Bei den Temperaturen kann ich leider nicht mithalten.
Grüße und alle guten Wünsche fürs neue Jahr aus dem Ruhrpott bei ca. 6° C hören sich doch ganz anders an als 31° C aus Bangkok... ;-)

CU
Shrek3

Sigi Saudi shrek3 „Hallo Siggi, zu deinem Problem Skype-Qualität am Satellite A200 sehe ich diese...“
Optionen

Hallo Shrek3,
Ich werde mir mal die Start-ups vornehmen.
Habe festgestellt, dass waehrend des Start-ups 39 Programme von der Registry her aufgerufen werden und 2 ueber Startup.
Das ist mir zu viel Holz und frisst Resourcen.
Ich bereite gerade mit MS Excel eine Liste, in der ich den Programmnamen des Start up Programms und die Funktion eintrage,um spaeter die Spreu vom Weizen zu trennen.
Auch im Task Scheduler ist zuviel Mist.
Da wid z.B. jeden Mittwoch der Disk Defragmenter gestartet, der mit den Bus zur Festplatte vollmarmelt.
Und ich wunderte mich schon, dass ich haeufig erhebliche Frame Drops habe, wenn ich ein DV Video von der Kamera capture.
Ich werde das mal gruendlich durchforsten und melde mich spaeter einmal wieder.
Vielen Dank fuer Deinen Hinweis.
Bis dahin einen Guss immer noch aus Thailand
Sigi Saudi