Task-Manager und regedit deaktiviert

IceWulf · 07.11.2004

Habe ein dickes Problem , ich bekomme immer die Meldungen :
Beim Aufrufen von regedit :
Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert

bzw. beim Aufrufen des Taskmangers :
Der Taskmanager wurde durch den Administrator deaktiviert

System ist Windows XP pro
Admin bin ich selbst

Wer kann helfen???? :'(

haegar · 07.11.2004

Hast Du an den Rechten oder in der Registry irgendwas verstellt ? z.B. durch Tunning-Programme ?

IceWulf · 07.11.2004

:'(Nein habe ich nicht ,gestern lief alles noch einwandfrei , heute trat das Prob dann auf .
Habe aber komischerweise im Windowsordner einen Eintrag : Booter.exe , den ich in TuneUp Utilitys deaktiviert habe und dann gelöscht , er taucht aber immer wieder nach dem hochfahren wieder auf.
Virenscan hat auch nichts gebracht .

haegar · 07.11.2004

mach mal einen Virenscan.

IceWulf · 07.11.2004

Nochmalige Virenscan , Ergebnis :
doodlers.dll
NeeDeep.dll
A0154063.exe gelöscht

Problem besteht weiterhin .

mav1976 · 07.11.2004

hi icewulf,

IceWulf schrieb:
... den ich in TuneUp Utilitys deaktiviert habe ...

vielleicht doch einige systemcontrols deaktiviert? das kann leicht passieren, denn mit den tools sind es nur meist 1 klick und dann ist's passiert.

melde dich als administrator (das konto gibt's auf deinem pc) auf deinem system an. am besten im abgesicherten modus und starte den registrierungsdatenbank.

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System bzw. HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System

und ändere den schlüssel DisableRegistryTools
auf 0.

das gleiche machst du mit DisableTaskMgr

IceWulf · 07.11.2004

Hi , mav1976

melde dich als administrator (das konto gibt's auf deinem pc) auf deinem system an. am besten im abgesicherten modus und starte den registrierungsdatenbank.

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System bzw. HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System

und ändere den schlüssel DisableRegistryTools
auf 0.

das gleiche machst du mit DisableTaskMgr

Habe leider HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System bzw. HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
nicht , steht nur Explorer drin.
TuneUp Utilitys habe ich erst nach auftauchen des Probs gestartet

Habe aber komischerweise im Windowsordner einen Eintrag : Booter.exe , den ich mit TuneUp deaktiviere und im Explorer lösche , aber nach Neustart wieder da ist

BigWoelfi · 07.11.2004

Hallo,

schon mal so etwas wie AdAware ode PestPatrol laufen lassen?

Könnte auch was Böses sein, das verhindet, dass Du TaskManager und Registry aufrufen kannst, damit Du das Teil nicht entfernen kannst.

Schau mal hier auf Google. Die ersten beiden Links sind interessant, weil von PestPatrol und mit Erläuterung. Ich kann allerdings nicht so gut englisch. Kannst du Dir aber auch von Google übersetzen lassen zur Not.

Wenn das so sein sollte, wie ich vermute, solltest Du schnellstens Deinen Rechner vom Netz nehmen und untersuchen, bevor Du größeren Schaden erleidest.

Gruß, Wolfgang

PCDpan_fee · 07.11.2004

versuch es mal mit dem Skript DisableRegistryTools.vbs:
http://www.wintotal.de/Tipps/Eintrag.php?TID=177

pan_fee

BigWoelfi · 07.11.2004

PCDpan_fee schrieb:
versuch es mal mit dem Skript DisableRegistryTools.vbs:
http://www.wintotal.de/Tipps/Eintrag.php?TID=177

Es ist ja schon mitgeteilt worden, dass der Unterschlüssel System gar nicht vorhanden ist.
Das ist bei mir gleichermaßen der Fall, dennoch kann ich Registry und TaskManager aufrufen.
Es muss also theoretisch etwas anderes sein, das den Aufruf verhindert, oder? :

Gruß, Wolfgang

PCDpan_fee · 07.11.2004

BigWoelfi schrieb:
Es ist ja schon mitgeteilt worden, dass der Unterschlüssel System gar nicht vorhanden ist.

Wie soll denn der User seinen Eintrag in HKEY_CURRENT_USER
kontrollieren, wenn Regedit für ihn unter seinen Benutzernamen gesperrt ist? ???
Wenn er sich als Admin im Abgesicherten Modus anmeldet und Regedit öffnet, bekommt er den Eintrag des Benutzers unter HKEY_CURRENT_USER gar nicht zu sehen. :

pan_fee

BigWoelfi · 07.11.2004

PCDpan_fee schrieb:
BigWoelfi schrieb:

Es ist ja schon mitgeteilt worden, dass der Unterschlüssel System gar nicht vorhanden ist.

Zum Vergrößern anklicken....

Wie soll denn der User seinen Eintrag in HKEY_CURRENT_USER
kontrollieren, wenn Regedit für ihn unter seinen Benutzernamen gesperrt ist? ???

Ich komme aber an meine Einstellungen heran, wie ich ja schon mitgeteilt hatte. Und bei mir ist ein solcher Eintrag eben auch nicht vorhanden, woraus sich ergibt, dass man einen solchen Eintrag dort nicht zwingend benötigt.
Und wenn das so richtig ist, dann stellt sich natürlich die Frage, warum der OP einen solchen Eintrag eigentlich benötigen sollte?
Es ist dann sehr wahrscheinlich aus meiner Sicht, dass er sich was eingefangen haben könnte und das gehört doch eigentlich untersucht, oder? :

Auf nicht mehr wollte ich hingwiesen haben. ;D

Gruß, Wolfgang

P.S.:
Macht IceWulf eigentlich noch mit?

PCDpan_fee · 08.11.2004

BigWoelfi schrieb:
Ich komme aber an meine Einstellungen heran, wie ich ja schon mitgeteilt hatte. Und bei mir ist ein solcher Eintrag eben auch nicht vorhanden, woraus sich ergibt, dass man einen solchen Eintrag dort nicht zwingend benötigt.

Klar ist so ein Eintrag nicht zwingend notwendig. Ist er aber da und er steht auf 1 kommt man nicht in die Registry. Wenn er auf 0 steht, zeigt er keine Wirkung. Es ist also genau so, als wenn er nicht da ist.

Auf nicht mehr wollte ich hingwiesen haben. ;D

ich auch nicht

Macht IceWulf eigentlich noch mit?

hoffen wir es, dass er sich noch mal meldet :-\

pan_fee

IceWulf · 08.11.2004

Doch ich mache noch mit , es war mir nur etws spät
Ich habe die Einträge per Hand eingegeben.
Ergebnis : alles beim alten , kann regedit und TaskManager nicht benutzen
Was mir Sorgen macht , ist das Prog Booter.exe im Windowsordner .
Nach dem Beenden des Progs in TuneUp ,kann ich es löschen , es schreibt sich aber nach einem Neustart wieder ins Verzeichnis .
Wenn ich das Prog entfernt habe kann ich den Taskmanager über Start\Ausführen\gpedit.msc dort unter Gruppenrichtlinien\Computerkonfiguration\Benutzerkonfiguration\System\Strg+Alt+Entf-Optionen\TaskManager entfernen wieder aktivieren .
Aber nach einem Neustart geht wieder nix mehr .
Ich vergaß , Booter.exe ist eine versteckte Datei . :'(

IceWulf · 08.11.2004

;DSo , das Prog Booter.exe bin ich los .
Hatte da ein Prog in Windows\System32 mit dem Namen tapi32init.exe , das wurde von Booter.exe aufgerufen .
Nach dem Löschen beider Dateien kommt Booterexe auch nicht wieder .
Das Prob mit regedit besteht aber weiterhin .
Den Taskmanager habe ich mir wie oben beschrieben wieder freigemacht .

Athene · 08.11.2004

http://www.wintotal.de/Tipps/Eintrag.php?TID=177

Versuche bitte nochmal mit erneutem Scriptausführen.......

IceWulf · 08.11.2004

;DDanke aninemo , Skript ausgeführt : Regedit geht auch wieder .

Das ich den Booter losgeworden bin , hat mich meine Frau drauf gebracht : Unter TuneUp den Prozess Manager und dort nach offene Dateien zu suchen . Dort stand , das Booter.exe das Prog tapi32init.exe gestartet hat . Beide gelöscht , jetzt funktioniert wieder alles

BigWoelfi · 08.11.2004

IceWulf schrieb:
;DSo , das Prog Booter.exe bin ich los .
Hatte da ein Prog in Windows\System32 mit dem Namen tapi32init.exe , das wurde von Booter.exe aufgerufen .
Nach dem Löschen beider Dateien kommt Booterexe auch nicht wieder .
Das Prob mit regedit besteht aber weiterhin .
Den Taskmanager habe ich mir wie oben beschrieben wieder freigemacht .

Hast Du denn gemacht, was ich geschrieben hatte? Hast Du AdAware zum Beispiel mal laufen lassen? Bist Du meinem Link zu Google gefolgt und hast Dir die dortigen beiden ersten Fundstellen angeschaut?

Wenn nicht, warum eigentlich nicht? Wenn Du keine Hilfe möchtest, dann kannst Du es natürlich auch lassen. *kopfschüttel*

Wenn doch, dann geh noch einmal hier zu Google bitte. Du wirst staunen. ;D

Und jetzt lass endlich AdAware oder TestPatrol oder besser noch beides oder ein ähnliches Tool über Deinen Rechner laufen.
Und nimm ihn vor allem erst mal vom Netz, bis Du das Problem beseitigt hast, es sei denn, es ist Dir egal, was Trojaner in der Regel, und bei Dir im Speziellen, so machen.

Dein Programm tapi32init.exe soll ja nur eine Kopie des Trojaners sein, den Du auf Deinem Rechner hast. Selbst wenn Du die Datei inzwischen gelöscht hast, müsste ja das Original in anderer Form noch vorhanden sein.

Gruß, Wolfgang

Longney · 09.11.2004

;D
egal ob noch vorhanden oder inzwischen gelöscht, lt Sophos hatte dieser Trojaner folgende Begleiterscheinungen
Stiehlt Daten/ Speichert Tastenfolgen/ Installiert sich in der Registrierung.
Da sollte jeder selbst entscheiden, ob ihm seine Passwörter, etc. noch sicher genug sind.
Wie man so einen Trojaner verhindert wäre vielleicht auch einen Gedanken wert, weil das System jetzt säubern und spätestens übermorgen wieder das gleiche bzw. ein ähnliches Problem zu haben ist wahrscheinlich nicht gerade erwünscht.

IceWulf · 11.11.2004

@ BigWoelfi
Habe AdAware und Pestpatrol laufen lassen , die haben aber nichts gefunden , was mit dem Booter.exe zusammenhing .
Habe auch noch , wie du , unter Google nach tapi32init.exe gesucht .
Daraufhin habe ich noch die Registry durchsucht , und tatsächlich einen Eintrag gefunden und gelöscht .
Ich denke mal , das tapi32init.exe der Ableger von der Booter.exe war .
Habe auch noch Norton Antivirus installiert und ausgeführt , hat auch nichts weiter gefunden .
Zusätzlich habe ich meine Firewall schärfer eingestellt , und hoffe , das damit das Problem Trojaner Booter.exeerstmal für meinen Rechner gegessen ist .

Task-Manager und regedit deaktiviert

IceWulf

haegar

IceWulf

haegar

IceWulf

mav1976

IceWulf

BigWoelfi

PCDpan_fee

BigWoelfi

PCDpan_fee

BigWoelfi

PCDpan_fee

IceWulf

IceWulf

Athene

IceWulf

BigWoelfi

Longney

IceWulf

Task-Manager und regedit deaktiviert

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums