Windows 7 - cmd und regedit blockiert

[Beitrag]

Hallo Leute,
Ich hatte vor ´ner Weile ´nen Schädling vom Pc verbannt, nun aber festgestellt, dass er cmd und regedit gesperrt hat.
Da ich Win 7 home premium nutze, habe ich auch keinen editor für lokale gruppenrichtlinien um das loszuwerden. Weis Jemand, wie ich dennoch wieder cmd und regedit zurückkriege.

 

[jaichbins]

Häufig ist es so, dass die Zeit für die Lösung des Problems (inkl. warten auf Antworten) die Zeit für eine Neuinstallation deutlich übersteigt.

Daher solltest du vielleicht eine Neuinstallation in Betracht ziehen.

 

[quakegott]

lade dir die kaspersky rescue disk runter und boote das system von dieser. dann starte das terminal und gib dort "windowsunlocker" ein - nach einem neustart hast du die macht wieder - scanne dann des system mit malwarebytes. alternativ kann du malwarebytes installieren und unter programme--> malwarebytes--> tools gibt es mmalwarebytes cameleon - damit kannst du auch erfolg haben

EDIT: der befehl könnte auch "windowsunblocker sein"

 

[Beitrag]

OK, dass werde ich morgen mal ausprobieren.
@jaichbins
Windows könnte ich vllt. so schneller installieren, die ganzen Programme und Dateien bräuchten aber ´ne Weile.
Außerdem muss ich so nicht soo viel Aufwand betreiben

 

[lack of]

Hi,
würde nicht gleich mit der Keule kommen und draufhauen.
Eventuell kannst du dein Problem auch wie in diesem Video beschrieben lösen.
Gleiches dürfte für cmd auch gelten.

lackof

 

[werkam]

Schon mal im abgesicherten Modus versucht zu starten und dann als Admin regedit gestartet?

 

[purzelbär]

EDIT: der befehl könnte auch "windowsunblocker sein"

Nein der Befehl heisst windowsunlocker

scanne dann des system mit malwarebytes. alternativ kann du malwarebytes installieren und unter programme--> malwarebytes--> tools gibt es mmalwarebytes cameleon - damit kannst du auch erfolg haben

So oder so muss Malwarebytes Free installiert werden weil es das Programm nicht als Portable Version gibt. Interessant wäre gewesen welche Infektion AMDisbesser sich eingefangen hatte die ihm cmd und regedit blockiert hat.

 

[quakegott]

So oder so muss Malwarebytes Free installiert werden weil es das Programm nicht als Portable Version gibt.

da habe ich mich evtl ein bisschen doof ausgedrückt - aber falls er malwarebytes cameleon starten kann dann könnte es sein das er sich die aktion mit der kapersky disk schenken kann

edit: er kann ja dann den LOG vom scan mit malwarebytes posten - dann wissen wir wer der übeltäter war

 

[werkam]

Im abgesicherten Modus läuft auch "Emisoft Emergency" von einem Stick.

 

[Beitrag]

Sry dass ich keine Rückmeldung gegeben habe.
Habe das Problem nun mit Semper video´s Methode gelöst.

 

[purzelbär]

Besser jetzt eine Rückmeldung als gar nicht trotzdem wäre es nicht verkehrt(wenn du es noch nicht gemacht hast)dein System mal mit Malwarebytes Free Vollständige Überprüfung und danach evtl. mit AdwCleaner und Junkware Removal Tool zusätzlich zu überprüfen und evtl. bereinigt zu bekommen da sich theoretisch noch Reste/Einträge der Infektion in Registry usw. befinden könnten.

 

[Beitrag]

hier das Log. Wurde Einiges gefunden - wobei das meiste wahrscheinlich auf Anderes zurückzuführen ist.

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.11.18.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16736
Timm :: TIMM-PC [Administrator]

18.11.2013 16:57:38
mbam-log-2013-11-18 (16-57-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 601983
Laufzeit: 37 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 14
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKCR\Typelib\{4599D05A-D545-4069-BB42-5895B4EAE05B} (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKCR\Interface\{1231839B-064E-4788-B865-465A1B5266FD} (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85} (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\DELTA\DELTA (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\BI (PUP.Optional.FilesFrog.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\DELTA\DELTA\IESTRG (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Keine Aktion durchgeführt.
HKCU\Software\InstalledBrowserExtensions\Plus HD (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Plus-HD-2.2 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Delta\delta\Instl (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 10
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Daten:  -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Daten: Delta Toolbar -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Delta\Delta|tlbrSrchUrl (PUP.Optional.Delta.A) -> Daten:  -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Daten: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Keine Aktion durchgeführt.
HKCU\Software\BI|ui_path_filesfrog (PUP.Optional.FilesFrog.A) -> Daten: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FilesFrog Update Checker -> Keine Aktion durchgeführt.
HKCU\Software\Delta\delta|lastB (PUP.Optional.Delta.A) -> Daten: http://www.delta-search.com/?babsrc=HP_ss&mntrId=CAA400040EC5EFB9&affID=119781&tt=250613_gr3&tsp=4925 -> Keine Aktion durchgeführt.
HKCU\Software\Delta\delta\iestrg|tlbrsrchurl (PUP.Optional.Delta.A) -> Daten:  -> Keine Aktion durchgeführt.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Daten: 0P1D1I1U2W0O0D0Y1R -> Keine Aktion durchgeführt.
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Daten: 47181405350106836136199094226999701433 -> Keine Aktion durchgeführt.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Daten: 47181405350106836136199094226999701433 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 10
C:\Users\Timm\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\Delta (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8} (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\BabSolution (PUP.Optional.BabSolution.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\BabSolution\Shared (PUP.Optional.BabSolution.A) -> Keine Aktion durchgeführt.

Infizierte Dateien: 51
C:\Program Files (x86)\FreeTime\FormatFactory\FFModules\Package\BaiDu\hao123inst-saudi-forf.exe (PUP.Optional.Hao123.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Yontoo Layers Runtime\YontooIEClient.dll (Adware.Yontoo) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Temp\appshat-distribution.exe (PUP.Optional.Somoto.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Temp\mconduitinstaller.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Temp\QuickShare1.exe (PUP.Optional.QuickShare.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Temp\UpdateCheckerSetup.exe (PUP.Optional.Somoto) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Temp\OCS\ocs_v71.exe (PUP.Optional.DownloadSponsor.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Temp\QS\Installer.exe (PUP.Optional.Linkury.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\BabSolution\Shared\BabMaint.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Windows\Tasks\Plus-HD-2.2-chromeinstaller.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Windows\Tasks\Plus-HD-2.2-codedownloader.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Windows\Tasks\Plus-HD-2.2-enabler.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Windows\Tasks\Plus-HD-2.2-firefoxinstaller.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Windows\Tasks\Plus-HD-2.2-updater.job (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\Delta\sqlite3.dll (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com\HDVidCodec.lnk (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com\Uninstall.lnk (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com\HDvidCodec10.crx (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com\b.bmp (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com\finish.bmp (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com\FinishHDVID.exe (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com\HDVidCodec.exe (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com\hdvidextsetup.exe (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com\hdvid_temp.bmp (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\hdvidcodec.com\uninst.exe (PUP.Optional.HDVidCodec.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Google\Chrome\User Data\Default\bProtector Web Data (PUP.Optional.BProtector.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Google\Chrome\User Data\Default\bProtectorPreferences (PUP.Optional.BProtector.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_eooncjejnppfjjklapaamhcdmjbilmde_0.localstorage (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\bl (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.settings (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\dm (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension\bprotector.js (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\00 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\01 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\02 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\03 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\10 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\11 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\12 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\13 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\20 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\21 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\22 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\23 (PUP.Optional.BrowserDefender.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\BabSolution\Shared\chu.js (PUP.Optional.BabSolution.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\BabSolution\Shared\Delta.ico (PUP.Optional.BabSolution.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\BabSolution\Shared\GUninstaller.exe (PUP.Optional.BabSolution.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\BabSolution\Shared\SetupParams.ini (PUP.Optional.BabSolution.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\AppData\Roaming\BabSolution\Shared\sqlite3.dll (PUP.Optional.BabSolution.A) -> Keine Aktion durchgeführt.
C:\Users\Timm\Downloads\mods\Annos\anno_1701_v101_trn1\anno 1701 v1.01 trainer.exe (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

 

[purzelbär]

Das ist nicht gerade wenig: 14 infizierte Registry Einträge und 51 infizierte Dateien alles PUP Infizierungen von Toolbars. Du hast wohl gar nicht aufgepasst was du dir mitinstallierst wenn du dir Freeware Programme installiert hast Pass da bitte in Zukunft viel besser auf und schau genau hin was alles in dem eigentlichen nstaller noch mit drin steckt. Nächste Schritte die ich dir empfehle: Bereinigung mit AdwCleaner und Junkware Removal Tool dein System(wenn die beiden fertig sind mit bereinigen kannst bzw solltest du den von AdwCleaner angelegten gleichnamigen Ordner löschen)und selbst danach würde ich an deiner Stelle noch das System mit Emsisoft Emergency Kit Scanner per Detail Scan überprüfen lassen. Danach noch Malwarebytes Antiroot Scanner holen und auch damit dein System überprüfen. Beide Scanner Emsisoft Emergency Kit Scanner und Malwarebytes Antirootkit Scanner sind Scanner die nicht installiert werden, du musst nur den Emsisoft Emergency Kit Zip/Rar Ordner entpacken und dann von da aus den Scanner ausführen. Malwarebytes Antirootkit muss glaube ich auch entpackt werden und dann kannst du den auch einsetzen. Nicht vergessen: beide Scanner müssen geupdatet werden und die von Malwarebytes Free (das du ja schon ausgeführt hast)gefundenen Infizierungen solltest du aus der Quarantäne heraus endgültig löschen.

 

[Beitrag]

Ich war doch noch so jung
Ne, also die meisten Infizierungen sind schon einige Jahre alt. Damals hatte ich nicht gerade viel Ahnung....
1 Fehlalarm war dabei - beim Anno 1701 Trainer.
Den hab ich wieder aus der Quarantäne geborgen. Der Rest ist gelöscht.
Übrigens hatte glücklicherweise keines der Dateien und Schlüssel, die mb gefunden hatte iewie mein sys beeinträchtigt.
Hab nur (noch) 1 Problem, und das scheint andere Gründe zu haben. (WMP11)

Na du verlangst ja viel. :freakAdwCleaner, Emisoft Scanner, mb antirootkit - Habe gerade keine Zeit für x Durchläufe, melde mich aber später wieder und gebe die Ergebnisse kund.

 

[purzelbär]

Na du verlangst ja viel. AdwCleaner, Emisoft Scanner, mb antirootkit - Habe gerade keine Zeit für x Durchläufe, melde mich aber später wieder und gebe die Ergebnisse kund.

Du solltest aber nacheinander dein System mit AdwCleaner, Junkware Removal Tool, Emsisoft Emergency Kit Scanner und mit Malwarebytes Antiroot Scanner in dieser Reihenfolge wie beschrieben überprüfen. Du willst doch ein bereinigtes/sauberes System oder? Dann fang an und lass mal dafür ein paar Spielerunden dafür sausen.

 

[Randy89]

Ich würde lieber eine Neuinstallation empfehlen, anstatt die Zeit mit Scannen und Herumraten zu verbringen.
Halte dich dabei an azereus Vorschlag.

 

[Beitrag]

falscher Thread