Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Taskmanager und registry gesperrt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.07.2006, 18:58   #1
l1nd0ws
 
Taskmanager und registry gesperrt - Icon21

Taskmanager und registry gesperrt



Moinsen!
So ich hab ein Problem! Taskmanager geht nich, rechner voll lam & wenn ich registry öffnen will, heißt es, der admin hätte diese Funktion deaktiviert, der bin aber ich(soweit sich nachts keina an meinen laptop schleicht??) un ich hab den sicher nicht deaktiviert... Hab schon n paar runden googeln hinter mir, hat aber alles nix geholfen. Un ich kann mich nicht erinnern das deaktiviert zu haben. Ich geh mal davon aus, dass hier ein virus am start ist. Ich tue allerdings schon alles was mir nicht grade allzu paranoid erscheint, um viren zu stoppen, aber irgendwie schmeckt denen wohl mein Blut! Also in diesem Sinne!
Post sentum: Man entschuldige meine Rechtschreibung!

Danke!

Logfile of HijackThis v1.99.1
Scan saved at 19:21:32, on 02.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\ATI Technologies\ATI Control

Panel\atiptaxx.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\windows\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Microsoft

Shared\VS7DEBUG\MDM.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP Software

Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Alcohol Soft\Alcohol

120\StarWind\StarWindService.exe
C:\windows\SOUNDMAN.EXE
C:\WINDOWS\system32\wbsecsvc.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works

Shared\WkCalRem.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe
C:\windows\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\LimeWire\LimeWire.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\windows\Explorer.exe
C:\Dokumente und

Einstellungen\***\Desktop\hiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Bar =

h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start

Page = http://w*w.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection

Wizard,ShellNext =

h**p://ui.skype.com/ui/0/2.0.0.79/de/exitsurvey?
R3 - URLSearchHook: ICQ Toolbar -

{855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe

C:\windows\system32\scvhost.exe
F3 - REG:win.ini: load=C:\windows\system32\scvhost.exe
F3 - REG:win.ini: run=C:\windows\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class -

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar -

{855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI

Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPEnh]

C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update]

"C:\Programme\Hewlett-Packard\HP Software

Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager]

"C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON

Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant]

C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ICQ Lite]

"C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Generic Host Process]

C:\windows\system32\scvhost.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [Generic Host Process]

C:\windows\system32\scvhost.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame

Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS]

"C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe"

-silent
O4 - HKCU\..\RunOnce: [ICQ Lite]

C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O7 -

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\S

ystem, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche -

res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.htm

l
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen -

res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.

html
O8 - Extra context menu item: Nach Microsoft &Excel

exportieren -

res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren -

{92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}

(WUWebControl Class) -

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/e

n/x86/client/wuweb_site.cab?1143122975250
O17 -

HKLM\System\CCS\Services\Tcpip\..\{66C3D12D-9264-4A83-BD4

5-1583D863E4BB}: NameServer = 192.168.178.1
O18 - Protocol: msnim -

{828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer

(AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard

(AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc.

- C:\windows\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -

Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) -

Rocket Division Software - C:\Programme\Alcohol

Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: wbsecsvc - Winbond -

C:\WINDOWS\system32\wbsecsvc.exe

Alt 02.07.2006, 19:10   #2
Yopie
Moderator, a.D.
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



Zitat:
Zitat von l1nd0ws
Post sentum: Man entschuldige meine Rechtschreibung!
Das vielleicht noch, aber warun postest du nicht das Logfile so, wie es alle anderen auch machen? Nu aber eh egal.

Zitat:
C:\windows\system32\scvhost.exe
F3 - REG:win.ini: load=C:\windows\system32\scvhost.exe
F3 - REG:win.ini: run=C:\windows\system32\scvhost.exe
U.a. diese Einträge sind starke Anzeichen für einen Backdoorbefall. Befolge die Anleitung in der Signatur. Nein, es gibt wirklich keine andere Möglichkeit.

Gruß
Yopie
__________________


Alt 02.07.2006, 20:48   #3
l1nd0ws
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



habs ganz normal mit copy paste gepostet kp wie die ganzen absätze da reinkommen?!?
ich schau mich trotzdem nochmal nach anderen lösungen um. Der pc war eigentlich seid der ersten minute gesichert
__________________

Alt 02.07.2006, 20:54   #4
Yopie
Moderator, a.D.
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



Zitat:
Zitat von l1nd0ws
ich schau mich trotzdem nochmal nach anderen lösungen um. Der pc war eigentlich seid der ersten minute gesichert
Offensichtlich ist das Sicherheitskonzept unzureichend.

Wenn du andere Erklärungen für die von mir zitierten Einträge hast, lass uns nicht dumm sterben. Wenn es sich aber tatsächlich um Backdoor-Einträge handelt, dann wird es keine anderen Lösungen geben.

Übrigens: http://seitseid.de/

Gruß
Yopie

Alt 02.07.2006, 20:57   #5
Wildone
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



Hallo,
die Einträge stammen sehr wahrscheinlich von einem Backdoor, wird häufig von AVs als Ciadoor.13 (Sophos nennt ihn Ciadoor.G)deklariert.



Grüße Wildone


Alt 02.07.2006, 23:26   #6
l1nd0ws
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



Also ich bin dem Hinweis von wildone nachgegangen und bin auf die Jagd nach diesem /mit verlaub/ dreckigem Virus gegangen; bin dabei auch auf interessante dateien in meiner system32 gestoßen. Es handelte sich also tatsächlich um Ciadoor.13 !!! Kaspersky Internet Security 6.0 konnte ihn erfolgreich bekämpfen. Einzig die Datei ckl009.dat war noch übrig. Diese konnte ich allerdings per hand ohne Probleme löschen. Vorher hab ich sie mal mit dem editor geöffnet und war schwer erstaunt, wie lange ich den Virus wohl schon auf dem System hatte. (Zur Info: die Datei ist eine Art Protokoll des Servers gewesen, u.a. hatte es auch die funktion eines keyloggers, doch alle Passw. die ich in der Zeit eingegeben hatte, waren auch in der datei verschlüsselt *dank windows?*) Dennoch bin ich mir noch ziemlich unsicher was nun mit meinem System ist, vorallem weil ich immer noch keinen Zugriff auf den Task-Manager und andere Dinge (registry,...) habe. Kaspersky hat jetzt nach dem 3. Suchlauf keine Viren mehr gefunden. Vielleicht doch besser gewesen nicht gleich zu formatieren?

Trotzdem danke für die Hilfe hier nochmal die HijackThis Log:


Logfile of HijackThis v1.99.1
Scan saved at 00:05:08, on 03.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\windows\AGRSMMSG.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\windows\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\dllhost.exe
C:\windows\System32\svchost.exe
C:\Dokumente und Einstellungen\Marc\Desktop\hiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ui.skype.com/ui/0/2.0.0.79/de/exitsurvey?
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250
O17 - HKLM\System\CCS\Services\Tcpip\..\{66C3D12D-9264-4A83-BD45-1583D863E4BB}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\windows\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

PS: Hatte Zeilenumbruch im Editor an!

Gruß
L1nd0ws

Alt 02.07.2006, 23:36   #7
Yopie
Moderator, a.D.
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



Zitat:
Zitat von l1nd0ws
Es handelte sich also tatsächlich um Ciadoor.13 !!! Kaspersky Internet Security 6.0 konnte ihn erfolgreich bekämpfen.
Woher willst du das wissen? Weil das ein "Sicherheitsprogramm" das so meldet? *rofl*

Das wird dich trotzdem nicht vor dem Formatieren und Neuaufsetzen bewahren, wenn du wieder ein sicheres System haben willst. Das würdest du übrigens schon längst wissen, wenn du die Anleitung und die darin aufgeführten Links gelesen hättest.

Was genau hattest du eigentlich an "Nein, es gibt wirklich keine andere Möglichkeit." nicht verstanden?

Gruß
Yopie

Alt 03.07.2006, 00:26   #8
l1nd0ws
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



Zitat:
Zitat von Yopie
Woher willst du das wissen? Weil das ein "Sicherheitsprogramm" das so meldet? *rofl*
Nein ich bin dem hinweis von wildone nachgegangen, hab nochn bisschen nach dem backdoor gegoogelt. Die Symptome deuteten alle darauf hin und die Dateien, die ich fand und löschte, ebenfalls.
Das Problem mit dem Backdoor ist behoben, nur die "Nachwehen" (taskman, regedit) gillt es noch zu beseitigen!
Als ich mir dann die LOG des Backdoors durchgelesen habe wurde mir auch klar, wo ich ihn mir gezogen haben muss!! Tatsächlich hätte ich in diesem Moment mal ein bisschen mehr nachdenken sollen.

Ich will nicht uneinsichtig klingen, aber ich formatiere vorerst nicht -z.Z. läuft das System sauber (außer, dass taskman und regedit sich nicht starten lassen)!?,ich kann nichts feststellen ud werde es in der nächsten Zeit auf jeden Fall genauer beobachten.

GN8

Alt 03.07.2006, 06:21   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



Mach die Kiste platt, durch Flickarbeiten wirst Du Die Kiste garantiert nicht sauber bekommen. Virenscanner und andere "Sicherheitssoftware" können Dir ein sauberes System "vorgaukeln", d.h. aber nur, dass der Virenscanner die tatsächlichen Backdoorbestandteile nicht findet bzw. erkennt!

Selbst Microsoft schreibt das. http://www.microsoft.com/technet/com...mt/sm0504.mspx
Eine kompromittierte Kiste kann man nur neu aufsetzen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.07.2006, 07:08   #10
Mellosun
 
Taskmanager und registry gesperrt - Standard

Taskmanager und registry gesperrt



Zitat:
Zitat von l1nd0ws

Ich will nicht uneinsichtig klingen, aber ich formatiere vorerst nicht -z.Z. läuft das System sauber (außer, dass taskman und regedit sich nicht starten lassen)!?,ich kann nichts feststellen ud werde es in der nächsten Zeit auf jeden Fall genauer beobachten.

Klingst du aber......wie Yopie schon geschrieben hatte, "Dein" PC könnte jetzt Mein PC sein. Ich kann alles mögliche mit meinem neuen PC anstellen ohne das du auch nur einen kleinsten Hinweis darauf findest. Aber vieleicht fargst du Dich, wenn die netten Grünen Jungs vor Deiner Tür stehen:

Warum habe ich nicht auf die Tips gehört und habe die Kiste Platt gemacht und Neu Aufgesetzt?

Du magst zwar den Grund, die Infektion beseitigt haben, aber die unzähligen Türen, die der Backdoor in Deinem System geöffnet hat, kannst du nicht finden und somit auch nicht schließen.

Würde mich aber schon Interessieren, wie Dein, was ja jetzt mein PC ist, von der ersten Minute abgesichert war?


Gruß Mellosun

Antwort

Themen zu Taskmanager und registry gesperrt
adobe, antivir, askbar, avira, bho, desktop, drivers, excel, explorer, firefox, generic host, generic host process, gesperrt, hijack, hijackthis, icqtoolbar, internet, internet explorer, limewire, mozilla, mozilla firefox, problem, registry, software, system, taskmanager, urlsearchhook, viren, virus, windows, windows xp




Ähnliche Themen: Taskmanager und registry gesperrt


  1. Registry+taskmanager
    Plagegeister aller Art und deren Bekämpfung - 16.02.2014 (2)
  2. TaskManager, Registry und Eingabeaufforderung sind Deaktiviert worden!
    Log-Analyse und Auswertung - 14.08.2012 (11)
  3. Taskmanager und Registry starten nicht mehr !
    Log-Analyse und Auswertung - 30.07.2012 (5)
  4. Ukash: WinXP gesperrt, Taskmanager gesperrt (Driveby Download mit IE)
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (5)
  5. 50 € Trojaner Schwarzer Bilfschirm Rote Schrift Bildschirm gesperrt Taskmanager gesperrt
    Log-Analyse und Auswertung - 05.02.2012 (11)
  6. Trojaner deaktiviert Taskmanager, Registry - Windows 7 64bit
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (22)
  7. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  8. weder Zugriff auf die Registry, den Taskmanager, noch online update
    Plagegeister aller Art und deren Bekämpfung - 10.08.2010 (20)
  9. Taskmanager, Registry, Windows Host Script.. alles gesperrt?!
    Plagegeister aller Art und deren Bekämpfung - 17.01.2010 (9)
  10. Fehlermeldung Taskmanager / registry wurde vom Administrator deaktiviert ...
    Plagegeister aller Art und deren Bekämpfung - 21.09.2009 (19)
  11. Taskmanager/Regedit gesperrt
    Log-Analyse und Auswertung - 30.08.2009 (6)
  12. Taskmanager und registry lassen sich nicht öffnen
    Plagegeister aller Art und deren Bekämpfung - 23.03.2009 (0)
  13. Hilfe!!Registry-Editor und Taskmanager immer abgeschaltet
    Plagegeister aller Art und deren Bekämpfung - 07.10.2008 (2)
  14. Taskmanager gesperrt /Heuristik/Malware/Dropper
    Plagegeister aller Art und deren Bekämpfung - 28.04.2008 (3)
  15. Hilfe! TR/Small.DBY.Q gefunden / TaskManager ist gesperrt
    Plagegeister aller Art und deren Bekämpfung - 25.01.2007 (1)
  16. Taskmanager gesperrt
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (2)
  17. Anzeige und Registry gesperrt!
    Plagegeister aller Art und deren Bekämpfung - 21.04.2004 (5)

Zum Thema Taskmanager und registry gesperrt - Moinsen! So ich hab ein Problem! Taskmanager geht nich, rechner voll lam & wenn ich registry öffnen will, heißt es, der admin hätte diese Funktion deaktiviert, der bin aber ich(soweit - Taskmanager und registry gesperrt...
Archiv
Du betrachtest: Taskmanager und registry gesperrt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.