Windows 7 - Taskmanager

~~SayKiDE~~ · 06/28/2013, 09:20

Hallo ,

Ich habe das Problem das mein Taskmanager sich nicht öffnen will.
Mit Strg+Alt+Entf geht es auch nicht.
Wenn ich regedit öffnen will kommt die Fehler meldung :
Das Bearbeiteten der Registrierung wurde durch den Adminstrator deaktiviert.

Freue mich auf hilfe. (:
[Bin mir auch ganz sicher das , dass ein Virus ist.]

Rici · 06/28/2013, 09:22

Wenn nen Task Manager & die Registry gesperrt ist, ist es eh nen Virus..

Downloaden + Installieren + Updaten

Vollständigen Surchdurchlauf Starten, und Funde hier Posten und nicht Löschen.

Wavehunt · 06/28/2013, 10:39

Nach Malwarebytes

ausführen um auch wirklich sicher zu gehen ^^

~~SayKiDE~~ · 06/28/2013, 11:35

atenbank Version: v2013.06.27.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
Artur :: ARTUR-PC [Administrator]

Schutz: Aktiviert

28.06.2013 09:37:00
MBAM-log-2013-06-28 (11-33-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411610
Laufzeit: 1 Stunde(n), 51 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |MicroUpdate (Backdoor.Agent.DCRSAGen) -> Daten: C:\Users\Artur\Documents\MSDCSC\msdcsc.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Daten: C:\Users\Artur\LOCALS~1\Temp\msbeopu.com -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Daten: C:\Users\Artur\LOCALS~1\Temp\msbeopu.com -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run|22093 (Trojan.Agent) -> Daten: C:\PROGRA~3\LOCALS~1\Temp\msoovyz.scr -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 15
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Window Title (Hijacked.WindowTitle) -> Bösartig: (CROSSFIRE HACK -

- HLBOT CHEAT) Gut: (Internet Explorer) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Bösartig: (

) Gut: (

) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 3
C:\Users\Artur\AppData\Roaming\dclogs (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\BrowserCompanion (PUP.Blabbers) -> Keine Aktion durchgeführt.
C:\ProgramData\IBUpdaterService (PUP.InstallBrain) -> Keine Aktion durchgeführt.

Infizierte Dateien: 22
C:\Users\Artur\Documents\MSDCSC\msdcsc.exe (Backdoor.Agent.DCRSAGen) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\BrowserCompanion\BCHelper.exe (PUP.Blabbers) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Local\Temp\{89C154BB-A5D4-4801-AAEA-EDF65222764D}\Custom.dll (Trojan.MSIL.Injector) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\.minecraft\minecraf tversionchanger.exe (Hoax.SMS) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Local\Temp\MSDCSC\msdcsc.ex e (Backdoor.Agent.DC) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-05-29-4.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-05-30-5.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-05-31-6.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-06-01-7.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-06-02-1.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-06-03-2.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-06-04-3.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-06-05-4.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-06-06-5.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-06-07-6.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Artur\AppData\Roaming\dclogs\2013-06-08-7.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\BrowserCompanion\blabbers-ch.crx (PUP.Blabbers) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\BrowserCompanion\logo.ico (PUP.Blabbers) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\BrowserCompanion\updatebhoWin32.dll_1 (PUP.Blabbers) -> Keine Aktion durchgeführt.
C:\ProgramData\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Keine Aktion durchgeführt.
C:\Users\Artur\Documents\WindowsService\WinrmtServ (Backdoor.Agent.DCE) -> Keine Aktion durchgeführt.
C:\ProgramData\Local Settings\Temp\msoovyz.scr (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

So... Bitte (:

Wavehunt · 06/28/2013, 11:50

Quote:

Originally Posted by Wavehunt

Nach Malwarebytes

ausführen um auch wirklich sicher zu gehen ^^

^^ USB Anleitung befolgen.

Verleihnix · 06/28/2013, 11:56

Und wieder wird sinnfrei gereinigt.Die zur Laufzeit des schadprogrammes angerichteten schäden werden nicht beseitigt,aber ich denke,das will man auch nicht.
Hauptsache,man kann wieder mal das system gründlich reinigen.
Eine Neuinstalation oder ein zurückspielen von sauberen images wäre hier besser.Aber jeder selbsternannte schädlingsbekämpfer muß ja zeigen,was er kann...

~~SayKiDE~~ · 06/28/2013, 12:12

Danke dir Wavehunt. (:
Geht wieder alles. :3

Rici · 06/28/2013, 12:25

Zu Beachten ist, der ganze Virus ist nicht vom Cpmouter runter.
Ich würde dir raten vorbereitungen zu treffen (Iso Brennen Treiber etc) und dann Windows neu zu Installieren, um 100% sicher zu gehen das Windows dann Clean ist.

Wavehunt · 06/28/2013, 12:34

Quote:

Originally Posted by Verleihnix

Und wieder wird sinnfrei gereinigt.Die zur Laufzeit des schadprogrammes angerichteten schäden werden nicht beseitigt,aber ich denke,das will man auch nicht.
Hauptsache,man kann wieder mal das system gründlich reinigen.
Eine Neuinstalation oder ein zurückspielen von sauberen images wäre hier besser.Aber jeder selbsternannte schädlingsbekämpfer muß ja zeigen,was er kann...

^^ nicht jeder will seinen Rechner neu aufsetzen und auch nicht jeder macht von seinem Image ein Backup.

Es bestand keine ernsthafte Gefährdung des Systems.
Es handelte sich nur um einfache Ransomware(ohne Datenverschlüsselung etc)
Nur das übliche.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Mein gepostetes Programm setzt die Registry werte wieder auf den Standard zurück und lässt 5 Antiviren Lösungen durchlaufen.

Also bitte kommt nicht immer mit: Du musst deinen PC neuaufsetzen.

@Topic
Der Grund warum du die Malware bekommen hast ist, das dein Java/Flash nicht Up2Date ist ^^

Verleihnix · 06/28/2013, 12:36

Du kannst also aus der entfernung feststellen,das ein programm garantiert nicht Bösartig ist? Respekt...

Wavehunt · 06/28/2013, 12:43

Quote:

Originally Posted by Verleihnix

Du kannst also aus der entfernung feststellen,das ein programm garantiert nicht Bösartig ist? Respekt...

Nein, aber ich kann lesen mein Freund

Criz3 · 06/28/2013, 12:51

Kein mensch würde aus spaß ein Programm verbreiten, welches den Taskmanager und die registry deaktiviert. Der Virus ist wie gesagt noch drauf und kein normaler Stealer würde den Taskmager und co deaktivieren. Wenn du die exe noch hast die "dich" infiziert hat lade sie bei Virustotal hoch und schau welcher Scanner den Virus schon in seiner Signatur hat.

Hierbei handelt es sich um einen RAT ( Remote Administration Tool ). Der besitzer des tronjaners kann auf deinen ganzen PC zugreifen, deine gespeicherten Passwörter aufrufen dich mit deinem Mikrofon abhören und die cam einschalten sowie einen Chat mit dir zu öffnen durch ein Popup aus dem nichts.

Verleihnix · 06/28/2013, 12:58

Das wären noch die harmloseren dinge.Aber darüber wird man erst bei ernshaften finanzellen verlusten nachdenken.Die hersteller solcher schadsoftware sind mit den abwehrmaßnahmen bestens vertraut...

Criz3 · 06/28/2013, 13:04

Quote:

Originally Posted by Verleihnix

Das wären noch die harmloseren dinge.Aber darüber wird man erst bei ernshaften finanzellen verlusten nachdenken.Die hersteller solcher schadsoftware sind mit den abwehrmaßnahmen bestens vertraut...

Was für verluste meinst du jetzt speziell? Niemand wird dir geld nur mit deinem PIN abheben, dazu braucht er auch noch die Karte. Also kann er zwar die gespeicherten Passwörter sehen, aber in Paypal oder so wird er kaum reinkommen, und wenn Anzeige und gut! Trotzdem ist das sicherste den PC zu formatieren!

Verleihnix · 06/28/2013, 13:13

Nun,wer z.B.Steam benutzt,dürfte ab und zu auch in seinen Email Account hineinschauen.Dabei besteht dann die gefahr,das der angreifer das EmailPasswort bekommt.
Mit weiteren eventuell "abgefischten Informationen dürfte er dann in der lage sein,den steam Acc zu übernehmen.Der eigentüber kann den zwar zurückbekommen,der Ärger und aufwand sind erheblich und sicher nicht blutdrucksenkend.
andere Fallgestaltungen wären denkbar und sind mir auch schon untergekommen.