Adaware hat Registry zerstört

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von electricaaron, 16. Oktober 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Folgendes Problem:

    Heute Morgen Starte ich meinen Rechner und Adaware springt auf...
    Irgendwelche dateien wollen sich in die Registry eintragen.
    Tja ich als Softwarebeckenrandschwimmer dachte mir, das is nich gut nenene, also bin ich auf automatisch Blockieren gegangen, was sich schnell als grober Fehler herausstellte.
    Jetz haben alle Verknüpfungen auf meinem Rechner die Endung .lnk und .exe dateien gehen von haus aus nich...
    nur manche sachen lassen sich starten, indem man unter "öffnen mit..." die richtige exe wählt...

    Kann man da jetzt noch was retten ohne gleich die Festplatte zu killen?
     
  2. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Hast du die freeware-Version oder die Vollversion von Ad-Aware?
    Dort muss es auch eine Art "Restore"-Funktion geben, mit der du die letzten Änderungen rückgängig machen kannst.

    Es fehlen leider einige wichtige Infos:

    -bei welcher Aktion "sprang" das Programm auf? Beim Systemstart? Oder beim einloggen ins Internet? Besuch einer Bestimmten Seite?
    -wie lautete die EXAKTE Meldung?
    -welches Betriebssystem?

    Du kannst mal vorsorglich ein Hijackthis-Log erstellen, und zwar GENAU nach der Anleitung hier:
    http://www.pcwelt.de/forum/showthread.php?t=134046

    Das kann uns zumindest bei der Ursache auf die Sprünge helfen.
     
  3. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Boah die exakten meldungen kann ich dir leider nichmehr sagen, war was mit Lokalmachine oder so...
    Es sprang zimlich gleich nach dem Start/Anmelden auf
    Is die Professional version, aber des Backup hat nich hingehauen...
    Windows XP home
     
  4. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Das ist so eine Sache, wenn die exes nicht mehr gehen.

     
  5. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Was denn nun? Professional oder Home?
    Warum hat das Backup nicht hingehauen?

    @franzkat: Und wenn er es mit "Start-Ausführen" probiert?

    @electricaaron: gibt es sonstige Hinweise auf eine Infektion, Warnung des Virenwächters? Unbekannte E-Mails, die du geöffnet hast? Webseiten besucht, die man besser nicht besucht? Tauschbörsen benutzt?
    Eine ehrliche Antwort ist in deinem, nicht meinem Interesse..:p
     
  6. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Das wäre keine Alternative.Wenn der exe-Eintrag in der Registry korumpiert ist, dann muss dieser zunächst wieder repariert werden.In die Registry selbst kommt man rein, wenn man regedit.exe in regedit.com umbenennt.
     
  7. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    das sollte mit Hijackthis.exe auch funktionieren - wenn denn der .com-Eintrag noch heile ist.
     
  8. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    ja man kann das schon hinbiegen, wenn man eine Verknüpfung erstellt und dann nach der exe sucht....

    hab das log mal nach der anleitung gemacht:

    http://www.hijackthis.de/logfiles/5498d50d8e440106f7125d080b8b2d90.html

    -> Adaware Professional
    -> Windoof XP home
    -> keine Viren (hoff ich zumindest mit Northon AntiVirus und Firewall)
    ->seiten für volljährige besucht: durchaus :D
    ->unbekannte e-mails keine
     
  9. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Stimmt.Das funktioniert.Habe es gerade getestet.
     
  10. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    :D
    Nunja, Norton AV ist eher für keusche programmiert und keine wirkliche Hilfe..
    Was steht denn unter "Extras-Addons verwalten" ? Was wird da aufgeführt?
    Dieser Eintrag ist mit ziemlicher Sicherheit schädlich:
    O2 - BHO: ts - {4006DCA3-433D-4FC8-AC36-42DA7797DCB7} - C:\WINDOWS\system32\bho.dll
    den kannst du mal fixen. Zur Sicherheit kannst du diese datei mal hier hochladen und scannen lassen:
    http://virusscan.jotti.org/de/
     
  11. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    hm nur ein Viren checker is drauf angesprungen:

    Kaspersky Anti-Virus
    not-a-virus:AdWare.Win32.HideOne.b gefunden

    soll ichs jetz mit hijack this fixen?

    wisst ihr das dumme is, dass im momemt nix funktioniert inklusive Northon und Adaware...

    aber ich versuch todesmutig auf möglichst sicheren seiten zu bleiben^^
     
  12. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ja, fixen. Danach neues Log erstellen wie gehabt. Wenn es dann wider Erwarten immer noch da wäre, im abgesicherten Modus starten (beim Booten F8 drücken und abgesicherten Modeus auswählen), dann nochmal Log erstellen und fixen (im abgesicherten Modus!).

    dann brauchen wir nur noch einen, der gerade den richtigen Registry-Schlüssel bzgl. der exe-Dateien zur Hand hat..
     
  13. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
  14. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Probiere es aus :p
    Es könnte aber sein, dass ein entsprechender Registry-Schlüssel "defekt" ist. Ich muss mal danach suchen..
     
  15. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Versuch: eine Textdatei erstellen, alles zwischen den Linien dort reinkopieren, unter "abc.reg" speichern, doppelklicken. Neustarten und probieren.

    --------------------------------------------------
    Windows Registry Editor Version 5.00

    [HKEY_CLASSES_ROOT\exefile]
    @="Anwendung"
    "EditFlags"=hex:38,07,00,00
    "TileInfo"="prop:FileDescription;Company;FileVersion"
    "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

    [HKEY_CLASSES_ROOT\exefile\DefaultIcon]
    @="%1"

    [HKEY_CLASSES_ROOT\exefile\shell]

    [HKEY_CLASSES_ROOT\exefile\shell\open]
    "EditFlags"=hex:00,00,00,00

    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"

    [HKEY_CLASSES_ROOT\exefile\shell\runas]

    [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
    @="\"%1\" %*"

    [HKEY_CLASSES_ROOT\exefile\shellex]

    [HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
    @="{86C86720-42A0-1069-A2E8-08002B30309D}"

    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
    @="{86F19A00-42A0-1069-A2E9-08002B30309D}"

    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
    @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
    @=""

    -----------------------------------------------------------



    Quelle: die gute alte Forensuche..:rolleyes: damals sogar noch mit steele als Stargast.:D
    http://www.pcwelt.de/forum/archive/index.php/t-6412.html
     
  16. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    Textdatei mit dem Notepad?
    Abspeicherort egal?
     
  17. NickNack

    NickNack Megabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    1.667
    Das klappt nicht. Da sind Leerzeichen enthalten, die die Forensoftware irgendwo eingefügt hat. Ans Ende der Datei gehört noch eine Leerzeile.

    PropertySheetHandlers ist richtig, Leerzeichen weg.

    Speicherort ist egal, die Endung ".reg" ist wichtig.
     
  18. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ah,
    @NickNack
    danke für die Korrektur..:o

    EDIT:
    Ja, mit Notepad, NICHT word..
     
  19. electricaaron

    electricaaron Kbyte

    Registriert seit:
    16. Oktober 2005
    Beiträge:
    363
    hat trotzdem nich geklappt :heul:

    hab den Text eingefügt und aufm Desktop gespeichert:

    Windows Registry Editor Version 5.00

    [HKEY_CLASSES_ROOT\exefile]
    @="Anwendung"
    "EditFlags"=hex:38,07,00,00
    "TileInfo"="prop:FileDescription;Company;FileVersion"
    "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Si ze"

    [HKEY_CLASSES_ROOT\exefile\DefaultIcon]
    @="%1"

    [HKEY_CLASSES_ROOT\exefile\shell]

    [HKEY_CLASSES_ROOT\exefile\shell\open]
    "EditFlags"=hex:00,00,00,00

    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"

    [HKEY_CLASSES_ROOT\exefile\shell\runas]

    [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
    @="\"%1\" %*"

    [HKEY_CLASSES_ROOT\exefile\shellex]

    [HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
    @="{86C86720-42A0-1069-A2E8-08002B30309D}"

    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
    @="{86F19A00-42A0-1069-A2E9-08002B30309D}"

    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
    @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
    @=""


    auch mit extra leerzeile zum schluss...

    edit: hä? ich habs aber schon ohne leerzeichen bei dem Sheet handlers!
     
  20. NickNack

    NickNack Megabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    1.667
    > hab den Text eingefügt und aufm Desktop gespeichert:
    Das war gut. Hast du auch darauf doppelt geklickt?

    Bei Create;Size muss auch noch das Leerzeichen weg.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen