Regedit einträge lassen sich nicht bearbeiten

[h0lz]

Hallo geschätzte 4PL Community,

ich habe folgendes Problem:

Der PC eines bekannten scheint mit einem Trojaner o.ä. infiziert zu sein, jedoch kann ich ihn nicht erkennen. Er hatte sich für DayZ ein Tool runtergeladen (bei youtube, volltrottel) um seine FPS zu steigern. Nachdem er es ausgeführt hat wollte er die Ergebnisse sehen un hat das Spiel gestartet. Zuerst schien alles Okay, jedoch kam nach dem 1. Ladebildschirm folgende Fehlermeldung: Falscher Schlüssel.

So, daraufhin habe ich ihm gesagt er solle bitte in die Regedit gehen um sich dort den Schlüsselwert anzusehen, dieser wurde geändert (schätze mal vom Tool) und lässt sich nun NICHT mehr bearbeiten. D.h. er hat schon alles mit der Besitzer&Admin funktion ausprobiert (bzw ich weil er keine Ahnung davon hat). Habe auch Hijackthis über sein System laufen lassen, dort ist aber nichts verdächtiges zu erkennen. Spybot und sämtliche AV Tools helfen auch nicht.

Meine Frage an euch ist nun, wie kann ich es schaffen seinen Wert in der Regestry zu ändern?

PS: Systemwiderherstellungspunkte hat er natürlich GAR keine!

Hier kurz noch der Hijackthis Log

pastebin.com/sBX5dQTx

[johndoe1044785]

das ganze schonmal unter abgesicherten modus gemacht? einen regedit-schlüssel, der sich gar nicht bearbeten lässt, hatte ich jedenfalls noch nicht.

[Levi]

kommt mir auch irgendwie suspekt vor ... ich hätte nichtmal gewusst, dass der Regedit überhaupt Schlüssel "sperren" kann Oo ...
wie äußert sich dass denn, wenn du versuchst ihn zu bearbeiten ... also doppelklickst auf entsprechenden Eintrag? ...

aber ansonsten würde ich Flexis Idee noch unterstützen. Wenn sich irgendetwas trotz Adminrechte nicht bearbeiten lässt, ist der abgesicherte Modus immer die erste wahl.



PPS: man kann von "Youtube" nichts laden, außer Videos ;P

[johndoe1044785]

schau mal bitte unter:

C:\Windows\system32\config\RegBack

was du da findest.

eigentlich wird die registry automatisch gesichert und da abgelegt (bis zu 5 backups).

in diesem ordner müsstest du folgende reg-dateien finden:

COMPONENTS.OLD -- COMPONENTS
DEFAULT.OLD -- DEFAULT
SECURITY.OLD -- SECURITY
SOFTWARE.OLD -- SOFTWARE
SYSTEM.OLD -- SYSTEM


die passende kopierst du raus und ersetzt sie unter:

C:\Windows\system32\config


ansonsten: wenn du nicht gerade irgendwo her ne vista-cd bekommst (systemwiederherstellung), könnte es finster aussehen.

[h0lz]

kommt mir auch irgendwie suspekt vor ... ich hätte nichtmal gewusst, dass der Regedit überhaupt Schlüssel "sperren" kann Oo ...
wie äußert sich dass denn, wenn du versuchst ihn zu bearbeiten ... also doppelklickst auf entsprechenden Eintrag? ...

aber ansonsten würde ich Flexis Idee noch unterstützen. Wenn sich irgendetwas trotz Adminrechte nicht bearbeiten lässt, ist der abgesicherte Modus immer die erste wahl.



PPS: man kann von "Youtube" nichts laden, außer Videos ;P

Zu deinem PPS, doch, in den Beschreibungen unter den Videos, ich weiß zwar nicht wie man dazu kommt eine .exe DIREKT von einem unseriösen User zu laden aber gut, die Feuertaufe hat er jetzt durch.

Abgesicherter Modus hilft auch nicht viel.

@Flextastic, wie soll ich die dateien ersetzen? PC meldet immer Fehlermeldung bezüglich "Wird im moment benutzt" Bei allen 5 Dateien.

[Levi]

du lädst es aber trotzdem nicht von Youtube Oo .... aber nun gut. Ich wiederhole aus reiner Neugier trotzdem nochmal meine Frage:

wie äußert sich das "nicht editieren können". Ausgegraute Felder? ... öffnet sich der Dialog erst garnicht? ... gibt es eine Fehlermeldung seitens Regedit? ...

[johndoe1044785]

@h0lz:

kopieren müsste doch aber gehen, wenn nicht: unter abgesicherten modus definitiv

edit: vielleicht hilft dir/euch dieser link:

http://www.xtremeforum.de/index.php?pag ... readID=101

wie geschrieben, ohne vista-cd ein schwieriges unterfangen.

[h0lz]

du lädst es aber trotzdem nicht von Youtube Oo .... aber nun gut. Ich wiederhole aus reiner Neugier trotzdem nochmal meine Frage:

wie äußert sich das "nicht editieren können". Ausgegraute Felder? ... öffnet sich der Dialog erst garnicht? ... gibt es eine Fehlermeldung seitens Regedit? ...

So wie ich es gesehen habe lässt sich die Regedit öffnen, dann geht man beispielsweise zu den Arma Ordner in dem sich der Key befindet. Dieser lässt sich noch mit Doppelklick öffnen zum ändern. Trägt man nun den ursprünglichen Key ein, folgt eine Fehlermeldung die folgendes besagt:

Key kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts.

[johndoe1044785]

hast du schon gecheckt, ob es mehrere einträge sind?

[h0lz]

schau mal bitte unter:

C:\Windows\system32\config\RegBack

was du da findest.

eigentlich wird die registry automatisch gesichert und da abgelegt (bis zu 5 backups).

in diesem ordner müsstest du folgende reg-dateien finden:

COMPONENTS.OLD -- COMPONENTS
DEFAULT.OLD -- DEFAULT
SECURITY.OLD -- SECURITY
SOFTWARE.OLD -- SOFTWARE
SYSTEM.OLD -- SYSTEM


die passende kopierst du raus und ersetzt sie unter:

C:\Windows\system32\config


ansonsten: wenn du nicht gerade irgendwo her ne vista-cd bekommst (systemwiederherstellung), könnte es finster aussehen.

Die Dateien lassen sich leider auch nicht im abgesicherten Modus ändern.

Was meinst du mit "mehrere Einträge"?

[johndoe1044785]

ob das tool eventuell mehrere einträge umgeschieben hat, oder wirklich nur den einen.

ansonsten wäre ich mit meinem latein am ende, tut mir leid.

[h0lz]

Die Sachlage ist nun auch ein bischen klarer, da er vom System er einen PC hat der für Arma2 / DayZ nicht viel nachhilfe in Sachen Grafik benötigt, habe ich mal in seiner History nachgeschaut. Er hat sich einen kostenlosen Hack runterladen wollen für eben jehnes Spiel. Schätze mal das war ein Keylogger der daraufhin einen ungültigen Key ins System gespeichert hat und auch gleichzeitig den Regestrywert lahmlegt. Somit dürfte sein Key eh über den Jordan sein, wobei ihm das auch mehr als zurecht geschehen ist. An sich dürfte ich ihm auch nicht groß weiterhelfen und er soll das alleine ausbaden.

Dennoch würde mich interessieren wie ich wieder die Regedit vernünftig zum laufen bringe, nicht das er sich für 25€ neuen Key kauft und der auch direkt wieder in den Wind geschossen wird.


Hab nachgeschaut, NUR den einen der sich auf Arma2 bezieht.

[johndoe1044785]

du kannst die registry eben nur durch backups wiederherstellen, oder du hast die os-cd, mit der du diese reparieren kannst. anders dürfte kaum klappen, da die registry auf die komponenten/software des pc´s spezifisch angepasst ist/wird.


edit: hab etwas gegooglet und noch nützliche hinweise gefunden.

mit diesem programm solltest du den schlüssel ändern können:

http://www.resplendence.com/registrar (die kostenlose version reicht)

ich nehme an, das hat mit den berechtigungen zu tun, das du den schlüssel nicht einfach so ändern kannst (spricht eben für trojaner etc.)

[MaV01]

hast du ganz profan mal die berechtigungen des unterschlüssel geprüft?

[h0lz]

du kannst die registry eben nur durch backups wiederherstellen, oder du hast die os-cd, mit der du diese reparieren kannst. anders dürfte kaum klappen, da die registry auf die komponenten/software des pc´s spezifisch angepasst ist/wird.


edit: hab etwas gegooglet und noch nützliche hinweise gefunden.

mit diesem programm solltest du den schlüssel ändern können:

http://www.resplendence.com/registrar (die kostenlose version reicht)

ich nehme an, das hat mit den berechtigungen zu tun, das du den schlüssel nicht einfach so ändern kannst (spricht eben für trojaner etc.)

Perfekt, im Arma2 Ordner war noch ein weiterer Ordner den man mit der normalen Regestry nicht sehen konnte. Konnte ihn nun deleten, mal schauen was das gebracht hat aber zumindest ist nun die Registry wieder in ordnung.