Ich habe mir durch einen Virus mein Windows zerschossen und kann keine exe- oder -com-Dateien mehr öffnen. Ich ahne, welche Schlüssel in meine Registry eingetragen wurden, um dies zu verhindern.

Wie kann ich die Registry ohne Regedit exportieren und diese Schlüssel ggf. auf einem anderen Rechner entfernen?

Du kannst per Netzwerk auf die Windows Registrierung zugreifen oder Du besorgst dir die 'Regedit.exe' von einem anderen Rechner bzw. extrahierst die exe von der Windows Setup CD.

Wie lade ich denn eine fremde Registry in ein Regedit auf einem anderen Rechner?

'Regedit/Datei/Mit Netzwerkregistrierung verbinden...'

Auf dem Zielrechner muss der Dienst 'Remote-Registrierung' aktivert sein (standardmässig an).

Nun habe ich es mit PEBuilder gemacht und auf die kaputte Registry zugegriffen. Hat alles wunderbar funktioniert. Den Netzwerkdienst hatte ich ausgeschaltet, mache ich in Zukunft wieder an. Vielen Dank nochmal...

War das dieser Virus, der alle avi- und mp3-Dateien löscht??

Falls "Ja", welche Regeinträhe musstest Du ändern/löschen, damit exe-Dateien wieder gestartet werden können? Und was ist PE-Builder? Ein Regeditor, der unter DOS läuft?

Das ist "Bart's Preinstalled Environment (BartPE) bootable live windows CD/DVD":

http://www.nu2.nu/pebuilder/

ich mach das immer im abgesicherten Modus, die meisten Viren werden dort nicht geladen.

Zur Erklärung vielleicht folgendes:

Es muss ein Wurm gewesen sein, den mein Kaspersky nicht erkannt hat. Nach Ausführen der infizierten Datei konnte ich sofort keine ausführbaren Dateien mehr starten. Auch die Systemsteuerung und der Taskmanager waren gesperrt! Ja, ich weiß, das lag daran, dass ich mit Admin-Rechten unterwegs war.

1. Im abgesicherten Modus konnte ich ebenso wenig Dateien starten, noch irgendetwas anderes öffnen. Eine Reperaturinstallation brachte nichts.

2. Einen Wiederherstellungspunkt hatte ich nicht, konnte also nicht schnell die Systemdateien mit der Wiederherstellungskonsole tauschen. Nach den Neustarts hatten sich natürlich auch die Daten in C:\Windows\Repair bereits verschlimmbessert.

3. Im abgesicherten Modus habe ich dann nach allen Dateien suchen lassen, die zum fraglichen Zeitpunkt geändert oder neu erstellt wurden. Nachdem ich da ein bisschen aufgeräumt hatte fielen mir folgende Dateien ins:

C:\Program Files\mopyaccess\rootdir.exe
C:\Program Files\ydc.drivers\forten.exe

Diese konnte ich dann löschen, aber das brachte keinen Erfolg. Das einzige, was dann passierte war, dass er bei jedem Start einer ausführenbaren Datei (egal, ob inf, pif, reg, exe, bat, com, scr,...) das Fenster öffnete, wo ich das Programm auswählen sollte, mit der die Datei geöffnet werden soll. Die Systemsteuerung hatte ich inwischen über den Gruppenlinieneditor wieder aktiviert, aber wenn ich ein Element starten wollte: Rundll32.exe wird nicht gefunden. Sie war aber da und intakt.

4. Wurzel allen Übels war in der Registry zu finden. Nur wie konnte ich die editieren? In der Wiederherstellungskonsole geht das nicht. Lösung war PE Builder mit einem Plug-In (braucht man zwar nicht dringend, erleichtert die Sache aber ungemein):

http://pcfreaks.big-clan.net/bartpe/pebuilder.shtml
http://regeditpe.sourceforge.net/

5. PEBuilder Windows erstellt und gebootet. Dann brauchte es ein wenig, bis ich die Einträge fand. Im Prinzip kann man erstmal komplett nach forten.exe und rootdir.exe suchen. Man wird sie vor allem in folgendem Abschnitt finden:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes und dort dann exefile, batfile, comfile usw.

Dort hat der Wurm eingetragen, dass Windows beim Start von ausführbaren Dateien die Wurmdateien starten soll, die ja nun nicht mehr da waren.

Unter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command stand dann der Startbefehl für forten.exe. Überall, wo man diesen Befehl in Classes findet, muss man den Standardwert zurücksetzen auf "%1" %* (mit Leerzeichen!).

6. Außerdem nisten sich die beiden Dateien im "Run-Zweig" der Registry ein, damit sie beim Windows Boot starten. Also auch da löschen. Und siehe da: Windows läd wieder ausführbare Dateien.

7. Allerdings war der Zugriff auf regedit.exe immer noch gesperrt. Der Wurm hatte u.a. regedit.exe in die Liste der zu verweigernden Programme eingetragen UND die Ausführung von Tools zur Veränderung der Registry unterbunden. Adaware findet auch zwei entsprechende Einträge (einen für die Systemsteuerung und einen für die Registry), die es rückgängig macht. Nachdem man im Gruppenlinieneditor (Start->Ausführen->gpedit.msc) unter Benutzerkonfiguration , Adminstrative Vorlagen, System den Eintrag "Zugriff auf Programme zum Bearbeiten der Registrierung verhindern" DEaktiviert hat, kann man eine Kopie von regedit.exe im Windows Ordner in regedit.com umbenennen. Damit startet es nun auch von Windows aus und man kann die Einträge unter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Di sallowRun

entfernen.

8. Am Schluss Antivirenscanner, Spybot und Adware laufen lassen.

Ich hoffe, damit einigen geholfen zu haben. Zu diesem Wurm habe ich nämlich NULL Informationen gefunden und musste mir den Weg selbst suchen, was einige andere wohl verzweifeln lassen wird. Hab heute Nacht über 4 Stunden nach Ausbruch daran gegessen und recherchiert... ;(

Noch ein Nachtrag:

Der Wurm hatte mir offensichtlich auch die Systemwiederherstellung deaktiviert. Ich bin gerade dabei, zumzuexperimentieren, wie ich sie wieder aktiviere:

Dazu folgendes:

http://www.wintotal.de/Artikel/gruppenrichtlinien/teil2/teil2.php

http://www.pqtuning.de/registry/xp/xpregistry2.htm

Systemwiederherstellung wird bei mir sowieso grundsätzlich deaktiviert.

Bevor ich da danach das totale Chaos im Windoof hab installier ich es lieber neu, gebraucht hätte ich sie sowieso noch nie.

regedt32

@Merkor
Sind denn Deine avis und mp3s verschwunden? Das ist nämlich dem PC meines Bruders passiert.

Dummerweise kann ich pebuilder nicht benutzen, da ich keinen Brenner hab'. Der einzige PC in meinem Bekanntenkreis, der einen Brenner hat, ist der meines Bruders. :D


P.S.: Aus welchen Dateien besteht die Registry nochmal?

@Merkor
Sind denn Deine avis und mp3s verschwunden? Das ist nämlich dem PC meines Bruders passiert.

Also auf den ersten Blick sind mir keine Dateien abhanden gekommen. Es kann aber sein, dass er danach gesucht hat, weil die Festplatte nach der Infektion sehr gearbeitet hat. Da aber auf Laufwerk C keine Media liegt, hat er wohl nix gefunden, denn ich habe dann schnell heruntergefahren, weil mir das spanisch vorkam.

P.S.: Aus welchen Dateien besteht die Registry nochmal?

C:\WINDOWS\system32\config

Zur Erklärung vielleicht folgendes:

Es muss ein Wurm gewesen sein, den mein Kaspersky nicht erkannt hat. Nach Ausführen der infizierten Datei konnte ich sofort keine ausführbaren Dateien mehr starten. Auch die Systemsteuerung und der Taskmanager waren gesperrt! Ja, ich weiß, das lag daran, dass ich mit Admin-Rechten unterwegs war.Darf man Fragen warum du die Datei ausgeführt hast, bzw. um was für eine Datei es sich gehandelt hat? Wo kam die her? Das will ich wissen, da ich mich dafür interessiere wie Viren überhaupt auf den PC gelangen. Ich schätze dich jetzt nicht so ein, dass du einfach auf einen Mailanhang namens dieGeileBarbara.jpg.exe geklickt hast?

Alles dort?

Alles dort?

Ja, denke schon, aber ich habe keinen Weg gefunden, den Kram offline zu bearbeiten, außer mit PEBuilder. Alternativ kannst du versuchen, dich auf einem anderen Rechner per "Mit Netzwerkregistierung verbinden" (Regedit) einzuloggen.

Thanks. :)

Alles dort?
das defintiv nicht....


ich weiss zwar nicht aus welchen dateien sie alles besteht aber unter dem jeweiligen %userprofile% findet sich eine datei namens "NTUSER.DAT"...diese stellt den reg baum hkey_current_user dar....

Darf man Fragen warum du die Datei ausgeführt hast, bzw. um was für eine Datei es sich gehandelt hat? Wo kam die her? Das will ich wissen, da ich mich dafür interessiere wie Viren überhaupt auf den PC gelangen. Ich schätze dich jetzt nicht so ein, dass du einfach auf einen Mailanhang namens dieGeileBarbara.jpg.exe geklickt hast?Threadstarter?

Könnte vll. irgendetwas mit einem Key und Slysoft zu tun gehabt haben.

Könnte vll. irgendetwas mit einem Key und Slysoft zu tun gehabt haben.

Aber auch nur evt.!

Hast du es wieder hingekriegt?

War zu spät - er hatte XP schon komplett neu installiert. ;)

War zu spät - er hatte XP schon komplett neu installiert. ;)

Ja, denn eine Reperaturinstallation funzt dabei leider auch nicht. Eine Neuinstallation wollte ich aber unter allen Umständen vermeiden...:(