[WinXP] Das Bearbeiten der Registrierung wurde durch den Admin deaktiviert

[Shinigami]

Folgendes Problem(chen)
Bis kurz vor eben hatte ich einen miesen kleinen Trojaner/Wurm/whatever auf meiner Fesplatte, der sich unter anderem unter dem Namen "mshta" auf der Festplatte einnistet. Mit allerlei Tricks und Kniffen habe ich ihn jetzt von der Platte verscheucht, ein Problem bliebe aber. Wenn ich auf die Registry (über Ausführen -> Regedit) zugreifen will, kommt folgender Spruch:
"Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert."
Ich habe weder etwas verstellt, noch bekam ich jemals zuvor solch eine Nachricht, also nehme ich an, dass es irgendwie mit diesem Trojaner/whatever in Zusammenhang steht. Im Internet hab ich dazu leider keine hilfreichen Infos gefunden und daher hoffe ich, dass mir evtl hier jemand weiterhelfen kann.

[Daen vom Clan]

Sorry für den fast-Beinahe-Spam, aber versuche mal bitte, dich als Admin (vordefiniertes Konto bei XP) anzumelden und lösche alle anderen Profile und lege diese dann neu an.
Oder arbeite von nun an als Administrator an deinem PC.

[Shinigami]

Warum ist für dich die Beantwortung einer Frage Beinahe-Spam?

Egal, hab eben versucht mich als Admin anzumelden und siehe da, ich bin die ganze Zeit schon als Zitat: "Computeradministrator" angemeldet.

[dread]

Du könntest mal unter

Start - Einstellungen - Systemsteuerung - Verwaltung - Lokale Sicherheitsrichtlinie schauen.

Ich müsste jetzt erst selber suchen, allerdings hab' ich momentan nicht die Zeit dafür. Normalerweise können solche Einschränkungen dort vorgenommen werden.

[SpongeBob]

ehm ja,

es hat was mit dem Trojaner zu tun, da ich auch einen hatte, der dann meinen Taskmanager deaktiviert hatte.

Ich konnte keine Prozesse mehr sehen oder schliessen deshalb beschloss ich WinXP zu REinstallieren.

Aber eins kann ich nicht verstehen.

Hast du kein Antivirus oder so? Der das vielleicht geblockt haette?

Also bei mir wurde der Virus geblockt, bloss habe ich nicht drauf geachtet ob das wirklich ein Virus war, da der Trojaner sich als "Winlogon.exe" verkleidet hatte und ich ihm erlaubte sich mit dem Internet, in Verbindung zu setzen.

*~Edüt~*
Ach ja, wie ich darauf komme, dass das was mit dem Trojaner aufsich hat, ist das da auch die Fehlermeldung kam "der Taskmanager wurde vom Administrator deaktiviert"

[Shinigami]

²dreadlord
In den Sicherheitsrichtilinien finde ich aber keinen Punkt, der mit der Registry zu tun hat. Alles was irgendwie danach aussah hab ich mal auf Admin/Benutzername umgestellt, hatte aber keinen Effekt.

²Spongebob
Meine Firewall hat den Trojaner entdeckt, das Mistvieh hat sich allerdings trotzdem von selbst installiert. Mein Virenscanner (ja, mit den neuesten Updates) hat überhaupt nicht reagiert. Wahrscheinlich hat er den Trojaner sogar reingewunken.

Wenn ich mich im abgesicherten Modus als Admin einlogge, kann ich zwar auf die Registry zugreifen, aber ich finde da einfach keinen Punkt, den ich ändern könnte, bzw keiner der Schlüssel ist irgendwie auffällig.

[Whiz-zarD]

@ Spongebob:

Bist du dir 100%ig sicher mit der winlogon.exe??
Da diese Anwendung ein Bestandteil von Windows ist!
Oder hat sich der Trojaner dort nur eingeschrieben?

Nach deinen Post hört es sich für mich so an, dass Winlogon.exe ein trojaner ist.

[wrtlprnft]

Die Winlogon.exe darf sich im %widows%\system-verzeichnis befinden. Nur wenn sie direkt im %windows%\ ist ist sie ein Virus

[Shinigami]

So wies aussieht, weiss hier wohl auch niemand mehr weiter,hm
Dann wird es wohl auf ein format:c hinauslaufen. Wie ich das hasse.

[LastLotus]

Hm, nicht unbedingt.

Google : ¤http://board.gulli.com/thread/269933¤

Hoffe das klappt.



au revoir ...

[Shinigami]

Habs eben versucht, aber leider hat es nichts gebracht. Die Unterschlüssel werden bei mir gar nicht angezeigt, somit kann ich sie auch nicht ändern. Alle Hilfestellungen im Inet laufen auf folgendes hinaus:

HKLM bzw HKCU/Software/microsoft/windows/policies/system und dann "DisableRegistryTools" entweder löschen oder auf 0 stellen. Der Pfad ist zwar (teilweise) vorhanden, aber entweder gibt es keinen Unterpunkt "system" oder es fehlt schlussendlich der zu ändernde Schlüssel, in diesem Fall "DisableRegistryTools".

[SpongeBob]

@Wizzard

Ich weiss selber das die "Winlogon.exe" bestandteil von XP ist.
Aber er taeuscht vor das die "Winlogon.exe" Zugriff auf das Internet haben will.

Der Trojaner is dann auch nicht mehr auffindbar, da er sich selbst loescht und sich irgendwie unter XP verdeckt haelt.

@Shinigami

Du sagst, die "unter" Registrationen haste nicht nae?
Dann erstellt die doch selber.
Guck auf der Seite von "LastLotus" welche eintraege in deiner Registry fehlen, und erstelle es selber.
WEnn du Glueck hast, sollte alles wieder funktionieren.

Aber ich wuerde dir davon abraten und Format C: und XP Neuinstall empfehlen, da dein Trojaner noch in deinm System rumfliegt. Falls du sicher bist, dass er WIRKLICH weg ist...

[Shinigami]

WinXP ist neu installiert und tadaaa~ alles läuft reibungslos (noch).

Trotzdem danke an alle, die versucht haben, mir bei meinem Problem zu helfen