Adaware hat Registry zerstört

Folgendes Problem:

Heute Morgen Starte ich meinen Rechner und Adaware springt auf...
Irgendwelche dateien wollen sich in die Registry eintragen.
Tja ich als Softwarebeckenrandschwimmer dachte mir, das is nich gut nenene, also bin ich auf automatisch Blockieren gegangen, was sich schnell als grober Fehler herausstellte.
Jetz haben alle Verknüpfungen auf meinem Rechner die Endung .lnk und .exe dateien gehen von haus aus nich...
nur manche sachen lassen sich starten, indem man unter "öffnen mit..." die richtige exe wählt...

Kann man da jetzt noch was retten ohne gleich die Festplatte zu killen?

 

Hast du die freeware-Version oder die Vollversion von Ad-Aware?
Dort muss es auch eine Art "Restore"-Funktion geben, mit der du die letzten Änderungen rückgängig machen kannst.

Es fehlen leider einige wichtige Infos:

-bei welcher Aktion "sprang" das Programm auf? Beim Systemstart? Oder beim einloggen ins Internet? Besuch einer Bestimmten Seite?
-wie lautete die EXAKTE Meldung?
-welches Betriebssystem?

Du kannst mal vorsorglich ein Hijackthis-Log erstellen, und zwar GENAU nach der Anleitung hier:
http://www.pcwelt.de/forum/showthread.php?t=134046

Das kann uns zumindest bei der Ursache auf die Sprünge helfen.

 

Boah die exakten meldungen kann ich dir leider nichmehr sagen, war was mit Lokalmachine oder so...
Es sprang zimlich gleich nach dem Start/Anmelden auf
Is die Professional version, aber des Backup hat nich hingehauen...
Windows XP home

 

Das ist so eine Sache, wenn die exes nicht mehr gehen.

 

Was denn nun? Professional oder Home?
Warum hat das Backup nicht hingehauen?

@franzkat: Und wenn er es mit "Start-Ausführen" probiert?

@electricaaron: gibt es sonstige Hinweise auf eine Infektion, Warnung des Virenwächters? Unbekannte E-Mails, die du geöffnet hast? Webseiten besucht, die man besser nicht besucht? Tauschbörsen benutzt?
Eine ehrliche Antwort ist in deinem, nicht meinem Interesse..:p

 

Das wäre keine Alternative.Wenn der exe-Eintrag in der Registry korumpiert ist, dann muss dieser zunächst wieder repariert werden.In die Registry selbst kommt man rein, wenn man regedit.exe in regedit.com umbenennt.

 

das sollte mit Hijackthis.exe auch funktionieren - wenn denn der .com-Eintrag noch heile ist.

 

ja man kann das schon hinbiegen, wenn man eine Verknüpfung erstellt und dann nach der exe sucht....

hab das log mal nach der anleitung gemacht:

http://www.hijackthis.de/logfiles/5498d50d8e440106f7125d080b8b2d90.html

-> Adaware Professional
-> Windoof XP home
-> keine Viren (hoff ich zumindest mit Northon AntiVirus und Firewall)
->seiten für volljährige besucht: durchaus
->unbekannte e-mails keine

 

Stimmt.Das funktioniert.Habe es gerade getestet.

 

Nunja, Norton AV ist eher für keusche programmiert und keine wirkliche Hilfe..
Was steht denn unter "Extras-Addons verwalten" ? Was wird da aufgeführt?
Dieser Eintrag ist mit ziemlicher Sicherheit schädlich:
O2 - BHO: ts - {4006DCA3-433D-4FC8-AC36-42DA7797DCB7} - C:\WINDOWS\system32\bho.dll
den kannst du mal fixen. Zur Sicherheit kannst du diese datei mal hier hochladen und scannen lassen:
http://virusscan.jotti.org/de/

 

hm nur ein Viren checker is drauf angesprungen:

Kaspersky Anti-Virus
not-a-virus:AdWare.Win32.HideOne.b gefunden

soll ichs jetz mit hijack this fixen?

wisst ihr das dumme is, dass im momemt nix funktioniert inklusive Northon und Adaware...

aber ich versuch todesmutig auf möglichst sicheren seiten zu bleiben^^

 

Ja, fixen. Danach neues Log erstellen wie gehabt. Wenn es dann wider Erwarten immer noch da wäre, im abgesicherten Modus starten (beim Booten F8 drücken und abgesicherten Modeus auswählen), dann nochmal Log erstellen und fixen (im abgesicherten Modus!).

dann brauchen wir nur noch einen, der gerade den richtigen Registry-Schlüssel bzgl. der exe-Dateien zur Hand hat..

 

Ok scheint jetzt weg zu sein:

http://www.hijackthis.de/logfiles/5498d50d8e440106f7125d080b8b2d90.html

fraglich, ob das der Auslöser für meine Probleme war und obs jetzt besser is...

 

Probiere es aus :p
Es könnte aber sein, dass ein entsprechender Registry-Schlüssel "defekt" ist. Ich muss mal danach suchen..

 

Versuch: eine Textdatei erstellen, alles zwischen den Linien dort reinkopieren, unter "abc.reg" speichern, doppelklicken. Neustarten und probieren.

--------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile]
@="Anwendung"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""

-----------------------------------------------------------



Quelle: die gute alte Forensuche.. damals sogar noch mit steele als Stargast.
http://www.pcwelt.de/forum/archive/index.php/t-6412.html

 

Textdatei mit dem Notepad?
Abspeicherort egal?

 

Das klappt nicht. Da sind Leerzeichen enthalten, die die Forensoftware irgendwo eingefügt hat. Ans Ende der Datei gehört noch eine Leerzeile.

PropertySheetHandlers ist richtig, Leerzeichen weg.

Speicherort ist egal, die Endung ".reg" ist wichtig.

 

Ah,
@NickNack
danke für die Korrektur..

EDIT:
Ja, mit Notepad, NICHT word..

 

hat trotzdem nich geklappt

hab den Text eingefügt und aufm Desktop gespeichert:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile]
@="Anwendung"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Si ze"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""


auch mit extra leerzeile zum schluss...

edit: hä? ich habs aber schon ohne leerzeichen bei dem Sheet handlers!

 

> hab den Text eingefügt und aufm Desktop gespeichert:
Das war gut. Hast du auch darauf doppelt geklickt?

Bei Create;Size muss auch noch das Leerzeichen weg.