sphjfix geht nicht Einstellungen

[Xymox]

moin, ich konnte mein problem lösen:

1. habe im system32 ordner einträge gesucht die das datum der infizierung hatten.

2. habe dann im abgesichterten modus diese beiden .dll gelöscht (hiessen bei mir "bhfa.dll" und "mskca.dll") - dies ging komischerweise bei früheren versuchen nicht

3. anschließend im abgesicherten modus per hjt und cws-shredder alles gefixt

schlachtet mich nicht wegen meiner laienhaften herangehensweise, aber es hat funktioniert! habe seit 24 stunden keine neuinfektion mehr.
ich denke, es dümpeln noch einige einträge/dateien herum die ich nicht finden kann, aber wenigstens richten sie keinen schaden mehr an.

vielen dank für eure mühe

cu,
Xy

[Weinford]

Danke, Xymox.

Was Xymox schreibt löst das Problem. Mein Internetexplorer ist nun schon seit 2 Tagen sauber und spybot findet den Dialer nicht mehr.

Vielen Dank!

[Gast_JohnnyTheGod_*]

Hilfe, hilfe, hilfe:

Nachdem ich mich monatelang mit der "Search..." Startseite herumärgern musste und ich jedesmal zuverlässig die DLL per Erstellungsdatum fand und umbenennen konnte (aber bekanntlich das Teil am nächsten Tag wieder da ist), habe ich es mit Eurem Tool probiert. Hat aber nicht ganz geklappt ("Fehler beim Löschen..."). Nun habe ich die manuelle Anleitung in diesem Thread probiert und einen gar schrecklichen Fehler gemacht:

Ich wollte HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows in "Windowsneu" umbenennen. Da darauf eine Fehlermeldung kam (keine Berechtigung) dachte ich, "Windows NT" ist die umzubenennende Stelle. Seitdem bekomme ich statt des WinXP-Prof. Anmeldebildschirm einen schwarzen Schirm und der PC macht gar nichts mehr. Kein Abgesichert, nichts geht mehr. Neuinstallation kommt eigentlich nicht in Frage, da ich dank Win-Verschlüsselung nicht mehr an meine Dateien komme (!!!argh!!!) ohne laufendes Windows. UND: Dank des Tipps habe ich ja auch die Systemwiederherstellung zuvor deaktiviert, die einem jetzt normalerweise gute Diesnte leisten würde... Und Wiederherstellungskonsole nützt mir ohne Regedit nichts. Selbst mit Knoppix (Linux) habe ich es schon geschafft, nach Booten von CD, auf NTFS schreibend (!!) zuzugreifen und c:\windows\system32\software per hexedit zu editieren (ist das überhaupt der entscheidende Teil der Registrierung oder nur eine Kopie oder so?), d. h. ich kann hier "WindowsjtNTneu" wieder in "Windows NT" umbenennen, hilft aber nichts, weil ich z. B. nicht weiß, ob (HexEdit!!) ich einfach Stellen löschen kann (Prüfsummen...?) oder durch Leerzeichen oder durch x00 ersetzen darf....

Komme hier nicht weiter, das Problem ist wegen der perspönlichen Dateien (Windows Verschlüsselung knacken: nicht dass ich wüsste.) Hat jemand Vorschläge?

Mit einer Schrotflinte den "Search..." Programmierer aufzusuchen, ja, darauf bin ich auch schon gekommen... :-)

[Seeker]

Läuft die Systemwiederherstellung als Dienst, wenn ja kannste die in der WH-Konsole starten mit enable [Dienstname] - startart

Und vielleicht hilft das dann weiter:
KB307545-Systemwiederherstellung bei beschädigter Registrierung, die das Starten von Windows XP verhindert

[Gast_JohnnyTheGod_*]

Nein, hilft leider nicht.

Die Systemwiederherstellung als Dienst wieder zu starten nützt nichts, da ja beim Deaktivieren "alle Wiederherstellungspunkte gelöscht" wurden.

Auch der Microsoft-Link ist eine Beschreibung, wie man manuell die Registrierungsdaten aus den Wiederherstellungspunkten zurückholt. Aber wie gesagt, beim Abschalten der Systemwiederherstellung wurden ja diese Punkte gelöscht und damit alle Wiederherstellungsdaten.

Nachdem ist schon sehr viel Zeit hinein gesteckt habe, ist die Zeit für eine Neuinstallation natürlich vernachlässigbar. Aber zuvor muss ich irgendwie an die Daten herankommmen (NTFS Verschlüsselung aktiv!). Meines Wissens zeigt das entsprechende Zertifikat, das zur Entschlüsselung nötig ist, erst beim korrekten Anmelden am System (also nicht nur an der Wiederherstellungskonsole) Wirkung. (Sonst könnte ja jeder die Dateien entschlüsseln, wenn er nur an das Dateisystem rankommt. *nichtmehrweiterweiß*