Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Die Registry (regedit) kann nicht mehr aufgerufen werden

Sigi Saudi / 10 Antworten / Flachansicht Nickles

Ich hatte das Problem mit dem gesperrten Task Manager eingebracht in die Diskussion und ich erhielt einen registry Eintrag, mit dem man den Task Manager wieder aktivieren kann.
Der Registry Link wuerde wahrscheinlich das Problem loesen, nur, wenn ich mit Start/Ausfuehren mit "regedit" als Programname arbeite, gibt das die gleiche Message wie schon beim Task Manager:
regedit vom Administrator disabled.
Da hat ein Virus ganze Arbeit geleistet.
Die Vorgeschichte ist wie folgt:
Ich besuche meinen Neffen in Thailand.
Er klagt, sein Computer arbeitet nicht mehr.
Ich schalte ein, es kommt nach dem Hochfahren nur das Wallpaper und sonst nichts.
Der Explorer laesst sich auch nicht oeffnen.
CTRL/ALT/DELETE funktioniert nicht, vom "Administrator", wer immer das ist, disabled. (Ich hatte mich als Administrator eingeloggt)
Mit der Rescue Disk mache ich eine Neuinstallation von Windows XP mit Format C eingeschlossen.
Alles funktioniert.
Mein Neffe installiert seine Spiele (einige dutzend).
Wieder funktioniert CTRL/ALT/DELETE nicht mehr und regedit laesst sich nicht aufrufen (Administrator Sperre).
Wahrscheinich ist eins seiner dutzende Spiele ein Virus, denn das Internet hatte ich fuer den Computer bisher total abgeschaltet.
Von daher kann der Mist nicht kommen, weil unplugged.
Ich koennte jetzt XP wieder neu nstallieren, die Spiele einzeln aufbringen und mal schauen, nach welcher Installation CTRL/ALT/DELETE nicht mehr funktioniert und dann XP neu installieren, ohne dieses Spiel, aber das wuerde zu lange dauern.
Ausserdem gehe ich stark davon aus, wenn ich den Taskmanager wieder aktiviere, habe ich den Schaedling. Der Programmname wird dann im Task Manager zu finden sein, sonst gaebe es keinen Grund fuer die aufwendige Task Manager/Regedit Sperre.
Meine Frage, wie kann ich als Administrator die Administrator Sperre fuer Regedit wieder aufheben???
(Weihnachts?)-Gruss aus Thailand
Sigisaudi

Ausserdem gehe ich stark davon aus, wenn ich den Taskmanager wieder ... shrek3
Nein, Shrek3, ich meine nicht, dass der Task Manager den Schaedling ... Sigi Saudi
Du glaubst, dass du einen komplex arbeitenden Schädling, der zu 99 mehr ... shrek3
Sigi Saudi shrek3 „Du glaubst, dass du einen komplex arbeitenden Schädling, der zu 99 mehr...“
Optionen

Hallo Shrek3,
Zum Glueck bin ich nicht so pessimistisch wie Du und deshalb konnte ich den Prozessnamen des Virus extrahieren.
Ich fand durch direkte Suche im Internet naemlich die Keys, mit denen man eine Sperre (1) oder eine Unsperre (0) einlegen kann fuer registry und task manager.
Ich fand den Prozess SCVVHSOT, der an anderer Stelle auch unter BLASTCLNNN firmiert.
Ich hab den Prozess aus %system% entfernt (Safe Mode) und habe ihn aus dem Windows Task Scheduler rausgeworfen, wo er fuer 9:00 morgens taeglich gescheduled war.ausserdem nahm ich ihn aus den Startup Routinen (Registry) heraus und killte alle 12 Eintraege dieses Namens in der Registry, und, und, und.
Ueber den Prozessnamen und das Internet (Live Search in Vista) fand ich heraus dass der mist Worm_SOHANNAD.AS heisst und ich fand eine Anleitung zum Entfernen.
Ich war hier in Thailand Up-Country und hatte mein Notebook mit. So konnte ich in aller Ruhe eine Visual Basic Script (vbs) routine schreiben, mit der ich die Registry auch im gesperrten Zustand manipulieren konnte. (Siehe Copy weiter unten).
Es ging dann nicht alles sofort glatt, weil der Wurm eine Shell anstelle des explorer.exe eingetragen hatte, was den Gebrauch des Explorers etwas umstaendlich machte, aber im Prinzip ist der Wurm tot.
Friede seiner Asche.
Ich kann nur nicht begreifen, warum es solcehe, entschuldige den Ausdruck, Arschloecher gibt, die solchen absoluten Dreck in Umlauf setzen. Was hat dieser erstklassige Idiot nun davon, dass ein Student in Thailand seinen PC nicht mehr ordentlich benutzen konnte? Der Bloedmann weiss das ja nicht mal. Wenn sich jemand so profilieren muss, muss er schon sehr weit unten angekommen sein. Aber darueber ist schon genug geschrieben worden. Mit diesen Typen kann man nur Mitleid haben!
Wie sich leicht nachvollziehen laesst, behandert mein Prograemmchen nur die REG_DWORD Werte von DISABLEREGISTRYTOOLS und DISABLETASKMGR, da ist also keine Falle drin.
Ich habe das Prograemmchen mit Mirosoft Frontpage 2003 erstellt und es arbeitet mindestens fuer XP und Vista.
Es stellt immer den jeweils gegenteiligen Zustand ein. War eine Sperre da, wird sie aufgehoben, war keine da, wird eine eingelegt, dann muss das Programm fuer das Aufheben eben noch einmal gestartet werden.

Hier nun das VBS Script:

Dim RTMShell
Dim readCU
Dim readLM
Dim switch
Dim response
Dim pathCU
Dim pathLM
Dim typeDAT
Dim Msg
Dim Title

On Error Resume Next

Set RTMShell = WScript.CreateObject("WScript.Shell")

'*******************************
'* regedit sperren / freigeben *
'*******************************

pathCU = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
pathLM = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
typeDAT = "REG_DWORD"

'Auslesen des REG_DWORD aus der Registry

readCU = RTMShell.RegRead(pathCU)
readLM = RTMShell.RegRead(pathLM)
If readCU = "" then readCU = 0
If readLM = "" then readLM = 0

Msg = "Eingetragener Wert fuer regedit Sperre in HKCU: " & readCU & " " & Chr(10) & _
"Eingetragener Wert fuer regedit Sperre in HKLM: " & readLM & " " & Chr(10) & Chr(10) & _
"Eine 1 bedeutet, regedit war gesperrt"

Title = "REGEDIT Sperre"

response = MsgBox(Msg, vbSystemModal, Title)

Title = " Registry"
switch = 0
If (readCU = 1 Or readLM = 1) Then switch = 1

If switch = 0 Then
Msg = "REGEDIT wurde gesperrt"
RTMShell.RegWrite pathCU, 1, typeDAT
RTMShell.RegWrite pathLM, 1, typeDAT
Else
Msg = "REGEDIT wurde editierbar gemacht"
RTMShell.RegDelete pathCU
RTMShell.RegDelete pathLM
End If

response = MsgBox(Msg, vbSystemModal, Title)

'************************************
'* Task Manager sperren / freigeben *
'************************************

pathCU = "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
pathLM = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"

'Auslesen des REG_DWORD aus der Registry

readCU = RTMShell.RegRead(pathCU)
readLM = RTMShell.RegRead(pathLM)
If readCU = "" then readCU = 0
If readLM = "" then readLM = 0

Msg = "Eingetragener Wert fuer Task Manager Sperre in HKCU: " & readCU & " " & Chr(10) & _
"Eingetragener Wert fuer Task Manager Sperre in HKLM: " & readLM & " " & Chr(10) & Chr(10) & _
"Eine 1 bedeutet, Task Manager war gesperrt"

Title = "Task Manager Sperre"

response = MsgBox(Msg, vbSystemModal, Title)


Title = " Task Manager"
switch = 0
If (readCU = 1 Or readLM = 1) Then switch = 1

If switch = 0 Then
Msg = "Task Manager wurde gesperrt"
RTMShell.RegWrite pathCU, 1, typeDAT
RTMShell.RegWrite pathLM, 1, typeDAT
Else
Msg = "Task Manager wurde freigegeben"
RTMShell.RegDelete pathCU
RTMShell.RegDelete pathLM
End If

response = MsgBox(Msg, vbSystemModal, Title)

Set RTMShell = Nothing

Hallo Sigi, zunächst mal meine Anerkennung vor deinen Batchkenntnissen, mit ... shrek3
Ehrlich gesagt, zeitlich gelohn hat sich der Aufwand nicht. Es ging mir nur ... Sigi Saudi
Ausserdem suchte ich eine computerisierte Urlaubsbeschaeftigung, die auch ... shrek3
Ganz genau so ist es. Ich bin ein Laptop Fan. Ich habe einen Satellite M30 ... Sigi Saudi
Hallo Siggi, zu deinem Problem Skype-Qualität am Satellite A200 sehe ich ... shrek3
Hallo Shrek3, Ich werde mir mal die Start-ups vornehmen. Habe festgestellt, ... Sigi Saudi