Hallo,
ich habe folgendes Problem:

Nach dem Start des PC´s ist ca. 30-40 sec die Schnellstartleiste ok.
Danach wird von irgendeinem "Programm" die Kontrolle übernommen.
Wenn ich einen Button anklicke, erscheint folgende Fehlermeldung:

Auf das angegebene Gerät, bzw. Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können"

Wenn ich Firefox und Thunderbird starte, sind sie im Urzustand. Alle Mails und Links sind nicht vorhanden. Nur kurz nach dem Start klappt alles. Also sind sie ja noch irgendwo.

Das kommt mir vor, als wenn jemand die Adminrechte übernommen oder gesperrt hat, bzw. die Benutzerkonten. (Vielleicht ein wenig blöd ausgedrückt)

Hjt kann ich z.b. auch nicht ausführen, sondern nur umittelbar nach dem Start, solange noch alles ok ist.

Ich habe Hjt ausgeführt und einige Einträge, die mir seltsam vorkamen gefixt.
War vielleicht etwas voreilig, und geholfen hat es auch nichts.

Ich hoffe nicht, dass ich das System neu installieren muss.

Für die Hilfe schon einmal Danke im Voraus



Logfile of HijackThis v1.99.1
Scan saved at 15:06:29, on 11.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\S\Eigene Dateien\HijackThis.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

Hallo,

hast Du den gernerell mehrere Accounts auf Deinem Rechner?
Erstelle bitte ein neues HJT Log:
entpacke HJT in einen Ordner , z.B.: c:\programme\hjt
Dann in diesem Ordner Rechtsklick auf die HJT exe und ausführen als anklicken, hier jetzt die Anmeldedaten für den Account mit den kompletten Rechten angeben.
Dannach das neue Log posten.

Gruß

Schrulli

Hi, nein ich habe eigentlich nur einen einzigen Account, hab aber eine zweiten jetzt mal angelegt

hab Hjt nur als .exe, weil ich es nirgends runterladen konnte. Habs noch auf ne Backup Cd gehabt

Auch wenn ich rechtsklick "ausführen als " mache, verweigert es die ausführung

Ich kann es nur direkt nach dem Neustart machen, dazu habe ich ca.40 sec zeit es zu starten

Lässt sich RootKitRevealer ausführen?

mhh, auch den downloadlink kann ich nicht nutzen.

Kann es sein, das dieser "Virus" all solche links sperrt ?
Denn Hjt konnt ich auf keiner der angebotenen Seiten runterladen


Nachtrag: Hab jetzt mit Umwegen diesen RootKit... runtergeladen und entpackt.

Gleiches Ergebnis. Gleiche Fehlermeldung

Hallo,

lade folgende Dateien bei Jotii hoch:
Ati2evxx.exe
userinit.exe

und poste das Ergbnis.

Gruß

Schrulli

@Schrulli
Ati2evxx.exe
userinit.exe

Beide sind im System32 Ordner, wo sie auch sein sollen, also ist es wohl keine Malware.


Grüße Wildone

Just an idea:

Erstelle eine Textdatei, kopiere die folgenden Zeilen und speichere die Datei als "info.bat" (mit Anführungszeichen) auf dem Desktop. Nach einem Neustart, sofort die Datei ausführen und den Inhalt der hoffentlich erstellten Datei C:\info.log hier posten. Zur Not das ganze mal im abgesicherten Modus versuchen.

@echo off
date /T >> info.log
time /T >> info.log
ver >> info.log
tasklist /V >> C:\info.log
echo Autostarts >> C:\info.log
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> C:\info.log
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce >> C:\info.log
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx >> C:\info.log
reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> C:\info.log
reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce >> C:\info.log
echo BHOs >> C:\info.log
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" >> C:\info.log
reg query "HKLM\SOFTWARE\Windows\CurrentVersion\Explorer\Browser Helper Objects" >> C:\info.log
echo Services >> C:\info.log
reg query HKLM\SYSTEM\CurrentControlSet\Services >> C:\info.log

Leider nur dieses Ergebnis

nach dem neustart und im abgesicherten Modus

Microsoft Windows XP [Version 5.1.2600]
11.02.2006
18:01

Microsoft Windows XP [Version 5.1.2600]
11.02.2006
18:01

Microsoft Windows XP [Version 5.1.2600]
11.02.2006
18:07


Habe gerade gemerkt, dass die meisten verknüpfungen auf dem Desktop auch nicht funktionieren

Die beiden Dateien hab ich spasseshalber mal geprüft, sind ok, so wie du sagtest

Du hast Windows XP Pro, oder?
Kommst Du in die Reparaturkonsole?

ja hab xp pro

wo ist die rep.Konsole, bzw wie komme ich da hin ?

Starten der Windows-Wiederherstellungskonsole
Verwenden Sie eine der folgenden Methoden, um die Windows-Wiederherstellungskonsole zu starten:
• Starten Sie den Computer mithilfe der Windows-Setupdisketten oder der Windows-CD. Drücken Sie im Begrüßungsbildschirm die Taste [F10] oder die Taste [R], um die Installation zu reparieren.


Teste das einfach mal (vor allem, ob Du Dich dort Einloggen kannst) Du wirst afaik das Passwort von "Administrator" benötigen.

@ die anderen:

ist einen Bearbeitung der Registry von der Console überhaupt möglich?

Die Reparaturkonsole hilft nicht weiter

Die Eingabe des Admin-Kennwortes bestätige ich mit [Enter], da ich keines in Gebrauch habe.

Danach steht das System

Kann nur noch mit EXIT die DOS-Oberfläche verlassen

Nachtrag:
Hab jetzt den RootkitRevealer augeführt, kann damit aber nix anfangen

Zitat:

Zitat von treibgut

Nachtrag:
Hab jetzt den RootkitRevealer augeführt, kann damit aber nix anfangen

? Du kannst mit dem Output nichts anfangen, oder Du hast versucht RKR auszuführen, kannst aber nichts damit anfangen, weil es abbricht?

Im ersteren Fall könntest Du uns mal mit dem Output beglücken (File -> save).

Kann mit dem Output nix anfangen

Das Posten des Ergebnisses klappt nicht, das sind viel zuviele zeichen.
Ich darf nur 25000 und das sind über 1 mio

Die Datei wäre 870 kb gross

Ist doch richtig ? Nur Scannen lassen, oder ?