[FlodurP]

Liebe Leute,

habe mal in C:\ nach regedit.exe und regedit32.exe suchen lassen. Ergebnis:

1. egedit.exe gefunden in C:\windows. Ist aber mit so einem DOS-Icon versehen (leeres weißes Blatt mit blauem Rand oben) und lässt sich, genau wie beschrieben, nicht starten
2. regedit.exe gefunden in C:\windows\system32\dllcache. Diese Datei ist mit dem "normalen" Regedit - Icon versehen (diese türkisfarbenen Würfel....) und lässt sich auch starten !!!! (hier habe ich also Zugriff auf die registry....)
3. regedit32.exe nicht gefunden.

Was ist nun der Unterschied zsichen regedit.exe unter 1. und regedit.exe unter 2. ?

Wie kann ich es wieder so einrichten, dass ich auch unter C:\windows wieder Zugriff auf regedit.exe habe (denn offensichtlich greift "Ausführen" ja auf C:\windows zu....) ?

Nochmals pauschal Danke an Alle !!

FlodurP

[Sereby]

versuch die regedit.exe ausm dllchache ins normale verzeichnis zu kopieren und wenn das nich geht musst du das im abgesicherten modus tun!

[DK2000]

Ja gut, das bedeutet aber, das sich jemand an deinem Regedit manipuliert hat und die SFC abgeschaltet ist.

In dllcache liegen die Backupdateien, die eigentlich im Fehlerfall automatisch wieder überspielt werden sollten, wenn das Orginal verändert oder gelöscht wird. Das erledigt eigentlich die Windows File Protection. Diese scheint bei Dir aber abgeschaltet zu sein.

Es reicht eigentlich aus dem dllcache die Datei wieder nach System32 zu kopieren. Das sollte aber eigentlich automatisch passieren.

Bleibt jetzt immernoch die Frage, wer oder was Deine Regedit zerstört hat und warum die File Protection nicht arbeitet. Tippe da immernoch auf Virus/Trojaner/etc. Und wo ist die regedt32.exe geblieben? Die Startet zwar nur die normale Regedit, aber sollte eigentlich auch vorhanden sein.

Dieser Beitrag wurde von DK2000 bearbeitet: 05. Mai 2005 - 15:31

[Win-Fan]

Zitat (FlodurP: 05.05.2005, 16:20)

3.  regedit32.exe nicht gefunden.
<{POST_SNAPBACK}>

Kannst du auch nicht finden, da sie regedt32 geschrieben wird, ohne "i".

Dieser Beitrag wurde von Win-Fan bearbeitet: 05. Mai 2005 - 15:37

[DK2000]

@Win-Fan:

Ja, schon verbessert... dachte die liegt in System32, leigt aber auch bei mir in C:\WinXP.

Mich hatten in meinem System32 gerade ein paar unbekannte Dateien gestört, die ich noch nie gesehen habe:

ROBA00.bac
ROBA0B.bac

usw.. Bin gerade am forschen, wer die erstellt hat. Allerdings k.a. was ich am 15. April so getrieben habe....

[FlodurP]

Hallo liebe Leute,

@ DK2000 und @ Sereby:

Habe auf Grund des Tipps eines users in einem anderen Forum zwischenzeitlich die "regedit.exe" aus "...system32\dllcache" in "C:\windows" kopiert. Zunächst wurde dies mit einem Bluescreen quittiert (aus welchen Gründen auch immer....?), nach einem Neustart habe ich aber tapfer einfach mal "regedit" in "Ausführen" eingegeben und siehe da: es hat funktioniert, ich habe auf diese Art wieder Zugriff auf regedit.

Was bleibt, ist die Frage, warum die "regedit.exe2 in C:\windows defekt war. "Hijackthis" habe ich zwar nicht, aber ich habe AdAware SE 1.05 mit den neuesten Definitionen und anschließend "PestPatrol" laufen lassen. Nix gefunden, was auf eine Manipulation von regedit schließen lässt (Gefunden wurde aber von AdAware schon etwas, nämlich: Ein "Ident. Reg-Schlüssel": HKEY_CLASSES_ROOT:webinstall.webinstallctrl.1\ mit dem "Ident. Reg-Wert": HKEY_CLASSES_ROOT:webinstall.webinstallctrl.1""" Diese beiden habe ich mit AdAware zwar umgehend entfernen lassen, nach einem Neustart und erneutem Sicherheitsdurchlauf waren sie aber wieder da... !!! Aber das nur am Rande....)

Vielleicht war ein anderes Programm die Ursache: ich habe da einen so genannten registry - Optimierer namens NTREGOPT. Diesen habe ich vorher mal durchlaufen lassen, der "verkleinert" die registry. In meinem Durchlauf wurde die registry um 3% entschlackt. Unter Umständen liegt hier der Hase im Pfeffer. Hat jemand Erfahrungen mit diesem Tool ? Allerdings muss ich dazu sagen, dass ich NTREGOPT schon des öfteren habe laufen lassen, jedesmal wurde die registry ein wenig aufgeräumt (immer so um die 2 - 3 % herum). Probleme hatte ich danach noch nie. Aber vielleicht diesmal ?

Auf jeden Fall allen, die sich um das Problem bemüht haben ein herzliches Dankeschön !!!

[DK2000]

Zitat

"Hijackthis" habe ich zwar nicht

Das gibt es hier: http://www.hijackthis.de/

Zitat

webinstall.webinstallctrl

Klingt nach einem ActiveX Element, welches automatisch "Dinge" aus dem Netz läd und Installiert, kann harmlos sein, kann aber auch was Böses sein. Da es nach jedem Neustart wieder kommt, ist der Verursacher noch installiert und Aktiv (hijackthis Ich weiss, bin Hartnäckig, aber das Tool hat mir auch schon so manchen Übeltäter aufgezeigt. Ein Durchlauf schadet nicht).

Zitat

ich habe da einen so genannten registry - Optimierer namens NTREGOPT

Unwahrscheinlich. Diese Tools schreddern höchstens die Registry aber lassen Regedit.exe in Ruhe. Zum. ist mir kein Tool bekannt, das sowas machen würde.

Dieser Beitrag wurde von DK2000 bearbeitet: 05. Mai 2005 - 17:36

[FlodurP]

Ach übrgens, kleiner Nachtrag noch an DK2000:

Die regedt32.exe in C:\windows\system32 existiert schon. Da ich nach regedit32.exe gesucht hatte, konnte ich die regedt32.exe natürlich nicht finden....

Und eine kleine Frage noch: Was ist die "SFC" und wie kann ich herausfinden, ob die eventuell abgeschaltet ist oder nicht ?

Und, an alle: (falls sich jemand damit auskennt): was Schlimmes verbirgt sich hinter diesem Programm ProDyne Webinstall (von dem stammen nämlich diese reg-Schlüssel- und reg-Wert- Einträge in der registry, die AdAware als "Data Miner" gefunden hatte) ?

Nochmals Danke.

FlodurP

[DK2000]

Ja, das mit regedit32.exe war ein Fehler meinerseit, sorry
Hatte mich da verschrieben

Die SFC oder WFP (SFC = System File Checker; WFP = Windows File Protection, gehören beide zusammen) ist ein System, welches verhindern soll, das irgend jemand wichtige Systemdateien löscht oder verändert. Dazu gehört auch noch das Verzeichnis dllcache. Wird eine geschütze Datei gelöscht, erkennt das die WFP und ersetzt die Datei sofort wieder mit der Orginalversion. Hat zwar auch Lücken das System, aber zu 99% wirksam und nützlich.

Da bei Dir die regedit.exe manipiliert und nicht ersetzt wurde deutet darauf hin, dass die WFP nicht läuft. Testen kann man dass, in dem man eine geschütze Datei (z.B. mal in ein anderes Verzeichnis verschiebt. Im orginal Verzeichnis müsste sie dann nach ein paar Sekunden wieder erscheinen und in der Ereignisanzeige steht dann sowas (auf detsch dann vermutlich bei Dir):

Zitat

File replacement was attempted on the protected system file c:\winxp\regedit.exe. This file was restored to the original version to maintain system stability. The file version of the system file is 5.1.2600.2180.

Gut, wie kann man die Ausschalten? Früher ging das mal über einen Registryeintrag:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:FFFFFF9D

Normal sollte da 0 eingetragen sein.

Aber ab einer gewissen Windowsversion ging das nicht mehr und man musste eine dll patchen, damit man die WFP wieder aushebeln konnte. Gut, da die regedit manipuliert war, ist bei Dir die SFC_OS.DLL (glaube die war das bei XP SP1 und SP2) eventuell auch manipuliert worden, ist aber schwer zu sagen.

Zitat

ProDyne Webinstall

Das ist einer dieser Autoinstaller (eine Komponente davon), welche auch an Firewalls und Scannern vorbei allen möglichen Schweinkram auf den Rechner laden und ungehindert Daten Senden kann. Die Teile nisten sich meist in den Brower (IE bevorzugt) oder anderen Komponenten ein und treiben iher Unwesen im Hintergrund ohne dass man das wirklich mitbekommt. Ob das Teil jetzt allerdings regedit manipulliert, ist mir da nicht bekannt. Hauptaufgabe von dem Teil jetzt speziell ist den Benutzer auszuspionieren und die gesammelten Daten an seinen Schöpfer zu senden (data mining). Was das Teil allerdings noch so nebenbei Treibt, ist mir da nicht bekannt.

Hier ist eine einfache Anleitung, wie Du das Teil entfernen kannst: ProDyne Webinstall Uninstall

Allerdings ist damit nicht garantiert, dass es wirklich weg ist. Ich hatte Anfang April auch so ein Teil (wurde von keinem Scanner erkannt) und das ließ sich manuell nicht richtig entfernen, da es dauernd seinen Namen gewechselt hat und immer wieder kam und zusätlich noch ein paar Freunde mitinstalliert hatte. Letztendlich hilf nur ein Backup aufzuspielen. Hoffe mal, dass ProDyne Webinstall da nicht so hartnäckig ist. Den Kanditaten hatte ich (zum Glück) noch nicht.

Dieser Beitrag wurde von DK2000 bearbeitet: 05. Mai 2005 - 18:15

[FlodurP]

Hallo DK2000,

absolut prima, Deine Unterstützung !! Vielen Dank nochmals.

Dieses ProDyne Webinstall scheint komplett von der Platte geputzt zu sein. Nach dem zweiten Durchlauf mit AdAware habe ich natürlich wieder "Entfernen" angeklickt. Diesmal hat es geklappt, was ich mittels des Links " ProDyne Webinstall Uninstall" überprüft habe, es scheint keine Reste des Programms mehr zu geben.

Was die "regedit.exe" in C:\windows nun manipuliert hat, werde ich wohl nicht mehr herausfinden. Hauptsache, sie funktioniert wieder.

Nur, ob diese SFC / WFP ordnungsgemäß arbeitet, würde ich gerne noch rauskriegen. Welche Datei kann man denn dazu gefahrlos aus welchem Verzeichnis (C:\windows ?) entfernen, ohne dass ich gleich das ganze System abschieße ?

FlodurP

[DK2000]

Zitat

Welche Datei kann man denn dazu gefahrlos aus welchem Verzeichnis (C:\windows ?) entfernen, ohne dass ich gleich das ganze System abschieße ?

Regedit.exe z.B. ist eine geschütze Datei, oder C:\Programme\Movie Maker\moviemk.exe. Auch eine geschützte Datei. Sobald man die Verschiebt, erscheinen die nach ein paar Sekunden wieder an ihren Orginalort und in der Ereignisanzeige erscheint die EventID: 64002 (Quelle: Windows File Protection).