Registry defekt?

[peter9999 10]

 

Hi,

 

seit einiger Zeit befindet sich in meiner Registry ein merkwürdiger Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System.

 

Merkwürdig weil:

- ist mit regedit inicht löschbar ("SYSTEM kann nicht geöffnet werden")

- Zugriffsberechtigung ist unter regedt32 nicht änderbar ("Die Sicherheitseinstellungen können nicht angezeigt werden")

- Registryedidoren mit Suchfunktion brechen immer an deiser Stelle ab

 

Ansonsten läuft das System scheinbar problemlos, aber der letzte Punkt ist äußerst unangenehm, weil eine manuelle Bearbeitung der registry damit aufwändig wird.

 

Ich weiß da nicht mehr weiter!!!!!!!!

 

peter

[a.jakob 10]

Hai..

 

also

 

1. Keine Panik

2. mehr infos.. gerade bei der registry.

viel mehr infos.. Welches OS, Welche Software wurde installiert

seit wann existiert der schlüssel. welche software wurde

danach installiert wurde etwa freeware oder so installiert..

dann währe es kein wunder

3. Gibt es ein wirkliches problem

4. Stehen irgendwelche Informationen in diesem Schlüssel.

 

MFG

 

a.jakob

[Kupferdings 10]

Also, ich habe gerade mal bei mir nachgeschaut (Win2000Pro). Da gibt es den Schlüssel auch und ich kann ebenfalls nicht drauf zugreifen. Allerdings kann ich ganz normal in der Registry suchen. Sieht für mich eher nach was Normalem aus...

 

 

Gruß

Matthias

[peter9999 10]

Also:

 

BS ist W2k SP4, installiert ist einiges, aber wann der Schlüssel da rein kam, weiß ich nicht.

 

Ob da was drinsteht, kann ich nicht sagen, weil jeder Zugriff auf den Schlüssel verhindert wird.

 

Wie gesagt: ansonsten normales Systemverhalten.

 

das mit der Suchfunktion klappt mit RegStudio nicht ("Error getting data"), mit dem normalen regedit geht es anscheinend, es kommt keine Fehlermeldung. Das ist sehr ärgerlich, da man mit RegStudio sehr bequem die komplette Regidtry durchwühlen kann (macht das mal mit regedit!).

 

Normal ist das nicht, ich habe das problem erst seit ca 3 Wochen, die BS-Installation war vor einem halben Jahr.

 

peter

[Damian 1.526]

Hi.

 

Ich habe hier eine Maschine mit W2k-Pro, SP4. Dieser Schlüssel ist bei mir NICHT vorhanden. :suspect:

 

Damian

[a.jakob 10]

also den schlüssel habe ich nicht..

auch win2k pro sp4.. mmh... habt ihr vielleicht office ? ich nämlich nicht..

 

mfg a.jakob

[grizzly999 11]

Also, die Mehrzahl hat ihn nicht, wenn wir die hier dazuzählen: http://www.hoc-board.de/phpBB2/viewtopic.php?t=9631&view=previous

 

Hat aber noch nichts zu heißen...

 

 

grizzly999

[EVIL 10]

:suspect: die suchergebnisse, die auf den Key Hinweisen, sind immer entweder spanisch rückwärts, oder chinesisch :suspect:

 

http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=SOFTWARE%5CMicrosoft%5CWindows%5CCurrentVersion%5CSystem&meta=

 

Schon mal "vorsichtshalber" auf viren gescannt ?

 

Greetz, Evil

[a.jakob 10]

Also ich schlage doch mal vor das unsere beiden die Ihn haben Ihre gesamte installierte software auflisten würden.

Dann können wir ja vielleicht was rausfinden..

 

also auf diesem System existiert es nicht

 

W2K pro

SP4

IE 6

open office 1.1 de

Dameware mini remote control

MSN 6.1

symantec antivirus CE 8.1

symantec client Firewall (von CE 8.1)

nero burning room 5.5.5.1

Netbeans 3.5.1

DivX 5.0.5

Lotus Notes 5.07

WinAmp 2.9.1

Adobe REader 6.0

Apache WebServer 1.3.2

mysql datenbank

php 4.3.2

 

ok so jetzt kennt ihr meinen rechner.. die software hat

diesen Schlüssel nicht angelegt..

 

währe nett wenn ihr auch posten würden vor allem unsere leute mit den Schlüssel..

 

MFG a.jakob

[EVIL 10]

hmm - hier ist ne aussage zu dem regkey -

 

da ist die rede von nem umgecodeten trojaner Back Orifice namens DeepThroat.:

 

****

 

Greetz, Evil

 

Edit:

 

Link vorsichtshalber entfernt......

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System

 

"SystemTray" value changed from "SysTray.Exe" to "c:\windows\systemtray.exe"

 

Das stand da drinnen. Und es ist ein umcodeter Trojaner.......

[Damian 1.526]

Sieht tatsächlich nicht "sauber" aus. Schon allein die Tatsache, dass man in den Schlüssel nicht reinschauen kann. :shock:

 

Ich schließe mich EVIL's Vorschlag an und empfehle einen aktuellen Viren- oder Trojanerscanner.

 

Damian

[MurphY MacManus 10]

also ich hab den schlüssel auch nich sowie alle anderen 200 rechner in meinem tollen firmennetzwerk :)

 

sucht mal in irgendeiner viren-datenbank (symantec z.b.) über infos....vielleicht findet ja einer was ich schau auch ma ;)

 

peace

MurphY

[Kupferdings 10]

Also, ich habe jetzt mal meinen Virenscanner alles und jeden scannen lassen (PC-Cillin 2000 mit neusten Updates).

Gefunden hat er nichts...

 

Die Seite von Evil hab ich mit google auch gefunden, aber keines von den dort aufgeführten Merkmalen finde ich auf meinem PC.

Außerdem steht da ja auch nichts davon, dass man auf den Key nicht mehr zugreifen kann...

 

 

Hat sonst noch jemand was anderes gefunden?

 

 

Gruß

Matthias

 

 

 

Edit:

 

Ich muss mich korrigieren, da ist doch was.... Irgendein Teil, dass sich JS_TMK.A nennt.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_TMK.A#solution

 

War nur eine Datei, die ich jetzt mal gelöscht habe. Wie das mit dem Key aussieht, weiß ich noch nicht.

 

Nochmal Edit:

So wie es aussieht hatte der Virus nichts damit zu tun, der Key ist weiterhin nicht zugreifbar!

[peter9999 10]

Hallo,

 

scheint wohl, dass alle so ratlos sind wie ich.

 

Ein Virus kann es auch nicht sein, ich habe ständig Norton Antivrus in Betrieb, immer aktualisiert. trotzdem habe ich einen check gemacht - nichts.

 

es gibt noch mehr merkwürdige Effekte bei diesem Schlüssel: man kann einen zweiten Schlüssel mit dem selben namen anlegen, dann erscheinen beide in diesem Zweig,das geht doch normalerweise nicht!

 

Es ist und bleibt merkwürdig!

 

peter

[EVIL 10]

Es gab doch mal irgendwo ein Dos-Tool mit dem man die registry ankucken und bearbeiten konnte - kann mich bloss nicht mehr erinnern, wie das Teil hiess :suspect: vielleicht ist das eine möglichkeit, da noch reinzukucken...

 

Googel doch mal danach Peter ;)

 

Z.B. "regedit unter DOS" oder "regedit dostool" als suchbegriff oder so ;)

 

Greetz, Evil

 

P.S.: @ Peter: ohne panik machen zu wollen, aber es gibt genug viren, die einfach mal kurzerhand Antiviren-Software ausschalten - gerade die bekannten wie Symantec sind die ersten, die bei Viren ausgeschaltet werden....Und wenn es Virus sein sollte (was keiner hier heraufbeschwören möchte ;) ) dann kann es ja auch sein, das der Virus schon drauf war, bevor Norton ihn kannte, und Norton ist nicht sehr gut, was die erkennung von unbekannten viren betrifft. Bei mir hat er z.B. Blaster nicht erkannt. Ich habe ihn dann von Hand entdeckt, und entfernt, noch bevor Symantec ihn auf ihrer Seite bekannt gegeben hat ( http://www.symantec.com/avcenter )