Warnhinweis nach Bundes-Trojaner

anon75107254 · 12. November 2019 um 07:49

Hallo Gemeinde,

ich hatte mir kürzlich den BKA-Trojaner (eloxor.exe bzw. jashla.exe) auf meinem Vista-Laptop eingefangen.
Nach der erfolgreichen Deinstallation (siehe http://computer.t-online.de/bka-trojaner-entfernen-s…) und soweit korrektem Betrieb habe ich jedoch bei der Vista-Anmeldung noch ein Warnhinweis (gelbes Symbol). Kann man zwar immer wegklicken, nervt aber spätestens nach der nächsten Anmeldung. Meldung besagt, dass ein Registrierungseintrag nicht stimmt. Und zwar der regedit-Pfad: HKEY_USERS/S-1-5-21/Software/Microsoft/WindowsNT/Windows mit dem Parameter LOAD. Dieser hat noch folg. Eintrag: C:\Users\rada\LOCALS~1\Temp\msktjaps.scr. (Screensaver-Datei vom Trojaner). Die Datei msktjaps.scr gibt es natürlich nicht mehr im besagten C:\verzeichnis, da der Trojaner gelöscht wurde mittels Norton DE-cleaner. Das Problem: den regedit-Parameter LOAD bekomme ich weder gelöscht (Meldung: „Nicht alle angegebenen Werte können gelöscht werden“) noch geändert („Load kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts“).

Hat somit einer eine Idee, wie ich den regedit-Eintrag lösche oder auf einen anderen Wert setze ? Bei einem anderen Vista-PC hat der LOAD-Eintrag keinen Wert, Dateipfad ist leer.

Danke schonmal im voraus.
Beste Grüße
Dan

Hokulea_b27307 · 12. November 2019 um 07:50

AutoRuns könnte dabei helfen, vermutlich wird das Programm beim Anmelden (Login) des Benutzers gestartet. Da die auzuführende Datei nicht mehr vorhanden ist kommt es zu der Fehlermeldung.

pcab50 · 12. November 2019 um 07:50

Du könntest es auch mit Malwarebytes versuchen, das musst du als 30 Tage-Testversion installieren, der Schnellscan reicht aus. Die gefundenen Fehler lässt du beheben, danach kannst du das Programm auch gleich wieder deinstallieren.

Safrael · 12. November 2019 um 07:50

Mal abgesehen von Tipps unten.

Dein System wurde kompromittiert und es wurden sonst was für Änderungen gemacht. Ich empfehle eindringlich:

Backup der Sachen die Du behalten willst, Festplatte formatieren und Windows neu installieren. Dann ist Dein Problem im übrigen gleich mit gelöst.

MFG

anon75107254 · 12. November 2019 um 07:57

Hallo zusammen,

danke für die Tipps der beiden hier vorgestellten Tools.
Leider wird auch hier das deaktivieren, editieren oder löschen des entsprechenden Eintrags verweigert mit dem Hinweis: „Error changing item state: Zugriff verweigert“. Und das, obwohl ich als Admin eingeloggt bin.

Nichtsdesto trotz: die beiden Programme sind auch so super

Gruß Dan

Martin_Mueller · 12. November 2019 um 07:57

Hallo!
„Zugriff verweigert“ sagt eigentlich schon alles aus.
Dass Du Admin bist, heißt nicht, dass Du von Haus aus alle Rechte besitzt, Du kannst sie Dir lediglich beschaffen.

Markiere im regedit mal den betreffenden Knoten und wähle im Kontextmenü „Berechtigungen…“ aus.
Darüber kannst Du sehen, wer was auf diesem Schlüssel darf (oder nicht darf).
Aus den dort angezeigten Werten müsstest Du erschließen können, warum Du das „Zugriff verweigert“ bekommst.
Um es zu ändern, klickst Du auf „Erweitert“ und übernimmst den Besitz des jeweiligen Knotens, dann darfst Du ihn wieder ändern/löschen.

Gruß,
Martin

anon75107254 · 12. November 2019 um 08:02

Hallo Martin,

das wars! Sicher, die Rechte. Ich dachte ich hätte als Admin in der Tat alle Rechte und die Meldung wäre auf Grund des Alt-Trojaners.
Nach Anpassung der Rechte in der regedit lässt sich der Paramter löschen.

Danke Dir

Gruß Dan