Computerhilfen mobil. Forum: Win XP: virus lechuck.a gehabt / gecleant.. aber keine rechte...


Win XP: virus lechuck.a gehabt / gecleant.. aber keine rechte...
Von: tocotronix * am 15.11.2008 Hallo, also ich hab nun folgendes problem.... ich hatte einen virus auf dem laptop.... er hieß lechuck.a so da gabs folgende features im system32 ordner war lechuck.exe wins.exe cc.dl Spolis.exe regedit.com cmd.com regedit war gesperrt konnte keinen virusscanner mehr installieren... selbst die suche nach nem virus scanner wurde im internet explorer und Firefox geblockt. jegliche .bat , .com, .exe usw waren in der regedit gesperrt Der Taskmanager hat sich deaktiviert, sämtliche Antiviren exe Dateien werden von ihm gelöscht oder beim Ausführen behindert. festplattenlink über arbeitsplatz war nicht mehr ok.. daher ich war komprimiert.. ich kam ja nicht mehr in irgendeine exe oder com rein.. daher ich kam nicht ins regedit so das hab ich eigentlich über folgende bat datei gelöst: taskkill /F /T /IM lechuck.exe /IM wins.exe > nul attrib -r -h -s %systemroot%\system32\lechuck.exe > nul attrib -r -h -s %systemroot%\system32\wins.exe > nul attrib -r -h -s %systemroot%\regedit.com > nul attrib -r -h -s %systemroot%\system32\cmd.com > nul attrib -r -h -s %systemroot%\system32\cc.dll > nul attrib -r -h -s %systemroot%\Spolis.exe > nul attrib -r -h -s %systemroot%\..\autorun.inf > nul reg delete HKLM\software\classes\exefile\shell\open\command /ve /f > nul reg delete HKLM\software\classes\batfile\shell\open\command /ve /f > nul reg delete HKLM\software\classes\piffile\shell\open\command /ve /f > nul reg delete HKLM\software\classes\comfile\shell\open\command /ve /f > nul reg add HKLM\software\classes\exefile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%" > nul reg add HKLM\software\classes\batfile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%" > nul reg add HKLM\software\classes\piffile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%" > nul reg add HKLM\software\classes\comfile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%*" > nul del %systemroot%\system32\lechuck.exe >> nul del %systemroot%\system32\wins.exe >> nul del %systemroot%\regedit.com > nul del %systemroot%\system32\cmd.com > nul del %systemroot%\system32\cc.dll > nul del %systemroot%\Spolis.exe > nul del %systemroot%\..\autorun.inf > nul so virus war weg... aber nun hab ich den großen ärger... es lässt sich keine exe öffnen... nix... keine systemsteuerung... ich kann höchstens ne exe öffnen wenn ich eine datei auswähle... öffne mit... und dann öffne mit der exe... maximal geht das... ich hab keine rechte.. komm in nichts ausser computer verwaltung rein.. aber es sind ja alle bats coms exen gesperrt... das wird da sicher nicht drin stehen... es lässt sich regedit nichtmal mit Option Explicit 'Declare variables Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers Dim enab, disab, jobfunc, itemtype Set WSHShell = WScript.CreateObject("WScript.Shell") p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\" p = p & "DisableRegistryTools" itemtype = "REG_DWORD" mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes" enab = "ENABLED" disab = "DISABLED" jobfunc = "Registry Editing Tools are now " 'This section tries to read the registry key value. If not present an 'error is generated. Normal error return should be 0 if value is 'present t = "Confirmation" Err.Clear On Error Resume Next n = WSHShell.RegRead (p) On Error Goto 0 errnum = Err.Number if errnum <> 0 then 'Create the registry key value for DisableRegistryTools with value 0 WSHShell.RegWrite p, 0, itemtype End If 'If the key is present, or was created, it is toggled 'Confirmations can be disabled by commenting out 'the two MyBox lines below If n = 0 Then n = 1 WSHShell.RegWrite p, n, itemtype Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t) ElseIf n = 1 then n = 0 WSHShell.RegWrite p, n, itemtype Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t) End If aktivieren oder mit Option Explicit Dim frage Dim WshShell Set WshShell = WScript.CreateObject("Wscript.Shell") frage = MsgBox ("Script ausführen?",36 , "DisableRegistryTools") If frage = 6 Then On Error Resume Next WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\" _ & "Policies\System\DisableRegistryTools" MsgBox "Sollte Regedit nach klicken auf ""OK"" nicht starten,"_ & " bitte das System rebooten!",64,"Starte Regedit" WshShell.run "Regedit.exe" Else MsgBox "OK" ,64 , "!" End If öffnen es hilft null.... ich brauch rechte.. es steht immer da zugriff verweigert..... oder wenn ich auf systemsterung gehen will kommt: "Auf das angegebene Gerät bzw. Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können" hijack kommt gleich

Antwort 1 von tocotronix * am 15.11.2008 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:33:29, on 15.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20661) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Firefox\App\firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\Kopie von HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Security Task Manager\TaskMan.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R3 - Default URLSearchHook is missing O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\system32\msconfig.exe /auto O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C320BA10-3891-4414-AF8C-7C350331AB92}: NameServer = 192.168.178.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe -- End of file - 5196 bytes
Antwort 2 von w am 16.11.2008 Daten mit knoppix sichern und neuinstalieren,alles andere ist läse und zeitverschwendung.Die fehlenden rechte wist Du kaum wiederbekommen,Die gesicherten daten dann auf schädlinge untersuchen von sauberem medium. Nach sicherung verseuchte platte low level formatieren,um alle schädlinge zu erwischen.Danach system neu aufsetzen und absichern. Weshalb wurde mit adminrechten gearbeitet?Sonderlich schlau war dies nicht.In zukunft nur mit gastrechten surfen und als benutzer arbeiten.
Antwort 3 von tocotronix_gast am 16.11.2008 danke für die antwort! wie mit adminrechten? ich bin administrator.. soll ich mir extra wegen internet nen zweites profil machen? es hies einfach nur zugriff verweigert.... also wenn ich ne reine exe öffnen wollte, zugriff verweigert.. wenn ich aber ein unbekanntes dateityp nehme und öffnen mit auswähle und dann meine exe die ich starten wollte, dann kann ich die exe öffnen...
Antwort 4 von w am 16.11.2008 seuftz Offensichtlich gehörst du zu den menschen,die generell geil auf arbeit sind,besonders wöchentlich das OS neu zu instalieren.Der Jeder nutzer des rechners in der gruppe der adminstratoren hat Adminrechte,ein admin kann dem anderen bestimmte rechte versagen. Informiere Dich bitte über rechtevergabe auf NT basierenden systemen.Zum Surfen extra account,ob es Di genehm ist oder nicht.Die alternative ist,wöchentlich system neuinstalieren oder vom backup einspielen,bestimmt geil und in 1 min fertig.
Antwort 5 von tocotronix_2 am 18.11.2008 blub blub... ich hatte eigentlich nie probleme damit... warum sollte ich mein "system" ändern wernn ich damit nie probleme hatte.. was besseres kannst du mir auch net sagen? hat deiner keiner eine idee was vll kaputt ist? die entscheidenten schlüssel ala reg add HKLM\software\classes\exefile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%" > nul reg add HKLM\software\classes\batfile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%" > nul reg add HKLM\software\classes\piffile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%" > nul reg add HKLM\software\classes\comfile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%" > nul sind ja eigentlich wieder repariert.. daher denke ich das der zugriff aus der hinsicht gegeben ist... aber welcher fehler macht dann dieses ständige zugriff verweigert aus schließlich lassen sich ja .exe öffnen zb ne Firefox nur wenn ich eine entsprechende html öffnem daher nicht direkt ne exe... oder wenn ich ein file über öffnen mit, mit einer exe öffne... was nicht direkt die .exe direkt startet... es gibt nur ein account.. und der bin ich... also was soll dieses admin gerede... du sprichst da echt in rätseln... und kosntruktiv war deine antwort auch nicht.. der fehler liegt garantiert wo anders! fehlende zuordnung sicher irgendwo... die gruppenrichtlinie hab ich vom desktop system kopiert an der liegt es nicht... da beide system die gleiche nLite OS version drauf haben... und daher die gleichen einstellungen
Antwort 6 von Zidane **** am 18.11.2008 hallo, Zitat also was soll dieses admin gerede... du sprichst da echt in rätseln Administrator rechte sind damit gemeint. ps: dein sytem ist veraltet sprich dir fehlt SP3. mfg Zidane
« zurück	Antworten