Hallo,

ich habe das Acer Notebook Aspire 3682 150 und habe folgendes Problem:

Wie ich über Google herausgefunden habe, habe ich mit wahrscheinlich einen Blaster Wurm oder so etwas ähnliches eingefangen. Ich möchte eigentlich nur den PC neu aufsetzten aber das geht leider nicht.

Zur Neuinstallation möchte ich die Acer eRecovery benutzen aber egal welches Acer oder Windows Programm ich anklicke erschein die Meldung:

"Auf das angegebene Gerät, bzw. den Pfad kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können."

Bitte um Hilfe!

MfG Julian


Hier das HijackThis Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:20, on 06.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\DOKUME~1\XXX~1\LOKALE~1\Temp\winlogen.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: C:\WINDOWS\system32\ksaf83hfd.dll - {c5bf49a2-94f3-42bd-f434-3604812c897d} - C:\WINDOWS\system32\ksaf83hfd.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\winlogen.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\winlogen.exe
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Delicious - Emily's Tea Garden\Images\stg_drm.ocx
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Delicious - Emily's Tea Garden\Images\armhelper.ocx
O20 - Winlogon Notify: c00bea32 - C:\WINDOWS\SYSTEM32\c00BEA32.mat
O20 - Winlogon Notify: sys32 - sys32.dll (file missing)
O22 - SharedTaskScheduler: lksdfj98w3rmsekfnaui3rgfdgf - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\ksaf83hfd.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe
O23 - Service: ASP.NET-Statusdienst (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: Indexdienst (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: COM+-Systemanwendung (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe
O23 - Service: CyberLink Media Library Service - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IMAPI-CD-Brenn-COM-Dienste (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RPC-Locator (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe
O23 - Service: QoS-RSVP (RSVP) - Unknown owner - C:\WINDOWS\system32\rsvp.exe
O23 - Service: Smartcard (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Leistungsdatenprotokolle und Warnungen (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Unterbrechungsfreie Stromversorgung (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe
O23 - Service: Volumeschattenkopie (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

--
End of file - 9506 bytes

Hallo JulianZ

Das du keine Rechte mehr hast, liegt wohl an dem Eintrag:

Zitat:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Du kannst nicht mehr in die Registry.
und dann noch diese:

Zitat:

C:\DOKUME~1\XXX~1\LOKALE~1\Temp\winlogen.exe
C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\winlogen.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Window s\lsass.exe

Die müssten gefixt werden.
Danach müsste eine Neuinstallation funktionieren.

Hi danke schon mal.

Aber das:
O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\winlogen.exe

erstellt sich nach dem Neustart wieder von selbst. Muss ich die dateien nach dem Fixen auch noch einzeln löschen?(im jeweiligen Verzeichnis?


Und wie fixe ich diese Einträge?:

C:\DOKUME~1\XXX~1\LOKALE~1\Temp\winlogen.exe
C:\WINDOWS\system32\drivers\svchost.exe



Mfg Julian


Edit:
Ach ja und irgentwie haben ich immer noch keine Berechtigungen obwohl ich den Registrierungseintrag auf 0 gesetzt habe.

Hallo ihr,
könntest du evtl. die folgenden Dateien bei VirusTotal - Free Online Virus and Malware Scan hochladen und die kompletten Ergebnisse posten?

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Window s\lsass.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\winlogen.exe
         

Hi die lsass.exe datei finde ich leider nicht auf meinem PC, aber hier ist das Ergebniss für winlogen.exe:



File winlogen.exe received on 11.05.2008 16:02:33 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2008.11.5.3 2008.11.05 -
AntiVir 7.9.0.26 2008.11.05 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.11.05 -
Avast 4.8.1248.0 2008.11.04 Win32:Lighty-B
AVG 8.0.0.161 2008.11.05 SHeur.CQFG
BitDefender 7.2 2008.11.05 Packer.Malware.Lighty.N
CAT-QuickHeal 9.50 2008.11.04 -
ClamAV 0.94.1 2008.11.05 -
DrWeb 4.44.0.09170 2008.11.05 Trojan.Packed.1208
eSafe 7.0.17.0 2008.11.05 -
eTrust-Vet 31.6.6190 2008.11.05 Win32/FakeAlert.IJ
Ewido 4.0 2008.11.05 -
F-Prot 4.4.4.56 2008.11.05 -
F-Secure 8.0.14332.0 2008.11.05 -
Fortinet 3.117.0.0 2008.11.05 -
GData 19 2008.11.05 Packer.Malware.Lighty.N
Ikarus T3.1.1.45.0 2008.11.05 VirTool.Win32.Obfuscator.DF
K7AntiVirus 7.10.516 2008.11.04 -
Kaspersky 7.0.0.125 2008.11.05 -
McAfee 5424 2008.11.04 Generic.dx
Microsoft 1.4005 2008.11.05 Trojan:Win32/Ertfor.A
NOD32 3586 2008.11.05 probably a variant of Win32/TrojanDownloader.Small.NTQ
Norman 5.80.02 2008.11.05 -
Panda 9.0.0.4 2008.11.05 Generic Malware
PCTools 4.4.2.0 2008.11.05 -
Prevx1 V2 2008.11.05 Worm
Rising 21.02.22.00 2008.11.05 -
SecureWeb-Gateway 6.7.6 2008.11.05 Trojan.Crypt.XPACK.Gen
Sophos 4.35.0 2008.11.05 -
Sunbelt 3.1.1783.2 2008.11.05 Trojan-Clicker.Win32.Agent.sea
Symantec 10 2008.11.05 Trojan.Virantix.C
TheHacker 6.3.1.1.140 2008.11.05 -
TrendMicro 8.700.0.1004 2008.11.05 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.5.1453 2008.11.05 -
VirusBuster 4.5.11.0 2008.11.05 Trojan.FakeAlert.Gen!Pac.3
Additional information
File size: 15000 bytes
MD5...: f542d1186e1a342916a24ce8d8f3a2b8
SHA1..: 6aaa4a2f9412c0fc565297ad7ae1dd1e8533129c
SHA256: 838026efe27e7ead053f0bc1186291b8eba85198cf1dbb815b8a9ac52db5dd45
SHA512: b6337beae21600223eaf012feeea325cb1d0bd0930c3eb4effddc52079954339<br>aa51dfd1993e1bcdc94ea2d94aaaa4d651c0d9d88ceee5576b3a4793863ac5f7
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x401008<br>timedatestamp.....: 0x48ff3b94 (Wed Oct 22 14:41:24 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x2000 0x200 5.03 1d35d9bb08f731ee56f34c95531c661e<br>.data 0x3000 0x2000 0x1e00 7.22 de10d81d7607c6985ff2a1fb2f5b1b79<br>.xdata 0x5000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rsrc 0x8000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br><br>( 3 imports ) <br>&gt; KERNEL32.DLL: CloseHandle, CreatePipe, ExitProcess, FreeEnvironmentStringsW, GetBinaryType, GetCommMask, GetCommModemStatus, GetConsoleOutputCP, GetEnvironmentVariableW, GetFullPathNameW, GetHandleInformation, GetProfileIntW, GetThreadLocale, GlobalUnWire, GlobalUnfix, HeapReAlloc, LocalShrink, LockFile, LockFileEx, OpenFileMappingA, OpenFileMappingW, OpenSemaphoreA, SetCriticalSectionSpinCount, SetFileApisToANSI, SetLocaleInfoA, SetStdHandle, WriteFile, WriteProcessMemory, WriteProfileStringA, lstrcmpiA<br>&gt; USER32.DLL: ArrangeIconicWindows, CascadeChildWindows, CharToOemW, CloseDesktop, CopyRect, CreateAcceleratorTableA, DefDlgProcA, DeleteMenu, DrawAnimatedRects, EndTask, GetDlgCtrlID, GetGuiResources, GetInputState, GetKeyNameTextW, GetSubMenu, GrayStringA, GrayStringW, IsDialogMessage, LoadAcceleratorsA, LoadAcceleratorsW, LoadCursorA, LoadMenuIndirectA, MessageBoxW, RegisterLogonProcess, SetFocus, SetLastErrorEx, SetParent, SetRectEmpty, SetWindowsHookA, WINNLSGetIMEHotkey<br>&gt; GDI32.DLL: CloseEnhMetaFile, CopyMetaFileA, CreateBitmapIndirect, CreateDiscardableBitmap, CreateFontIndirectA, CreatePatternBrush, CreateRoundRectRgn, DeleteColorSpace, DeleteObject, DeviceCapabilitiesExA, GdiGetBatchLimit, GetCharABCWidthsW, GetClipRgn, GetColorSpace, GetPaletteEntries, GetROP2, GetRasterizerCaps, GetTextCharsetInfo, GetWorldTransform, PaintRgn, PatBlt, ResizePalette, SelectPalette, SetROP2, SetRectRgn, SetWindowExtEx, TranslateCharsetInfo, UpdateColors<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramte...8624003DC849B3

Zitat:

Zitat von Julian Z.

Und wie fixe ich diese Einträge?:

Also mit dem HijackThis einen Do a sytem scan only und dann in die entsprechenden Zeilen vor dem zu Löschenden einen Haken reinmachen und Fix checked. Ist aber in der Beschreibung angegeben.
Auch den Eintrag, den du auf 0 gesetzt hast.

So ich habe jetzt alles gefixt bis auf diesen beiden Einträge weil ich sie nicht finde:
C:\DOKUME~1\XXX~1\LOKALE~1\Temp\winlogen.exe
C:\WINDOWS\system32\drivers\svchost.exe

Aber das mit den Berechtigungen hat sich immernoch nicht verändert.

Edit:
Ich habe jetzt die svchost.exe im angegebenen Verzeichniss gefunden, kann ich sie jetzt schreddern oder muss das über HijackThis laufen?
Denn in HijackThis finde ich beide einträge nicht.
Wenn ja kann ich dann mit winlogen.exe genauso vorgehen?

Zitat:

Zitat von Julian Z.

Hi die lsass.exe datei finde ich leider nicht auf meinem PC,

Du hast aber die Einstellungen zum Sichtbarmachen entsprechen eingestellt.

So ich habe jetzt alles Sichtbar gemacht und auch die lsass.exe gefunden, aber als ich sie bei Virus Total hochladen wollte kam diese Meldung:

0 bytes size received / Se ha recibido un archivo vacio

Soll ich die dateien lsass.exe und winlgen.exe vielleicht einfach schreddern?


MfG Julian

Zitat:

So ich habe jetzt alles Sichtbar gemacht und auch die lsass.exe gefunden, aber als ich sie bei Virus Total hochladen wollte kam diese Meldung:

0 bytes size received / Se ha recibido un archivo vacio

Geh in den Safe Mode und nenne die lsass.exe um und verschiebe sie in einen eigenen Order (z.B. infected) auf den Desktop.
Boote dann wieder in den normalen Modus, jetzt solltest du sie hochladen können.

Ich hab den pc jetzt im Abgesicherten Modus aber der explorer.exe startet nicht und man kann ihn auch nicht starten und jetzt kann ich die lsass.exe nicht verschieben. Kann man da irgentwas machen, oder anders an die lsass.exe kommen?

Julian

Ja, versuch es im normalen Modus.
Kopiere sie auf den Desktop, nenne sie dann um oder verpacke sie dann in ein ZIP-Archiv.

((Ich hab den explorer.exe noch starten können aber jetzt startet er im Normalen Modus nicht mehr))

Edit:
So, geht wieder alles. Ich habe die datei auf den Desktop kopiert und sie umbenannt, aber es komt immer noch die selbe Meldung beim Hochladen.



Edit2:

Ich möchte eigentlich nur die Berechtigungen wieder erlangen. Wie kann ich da vorgehen?
Bitte und Hilfe.


MfG Julian

Hi
Also wenn du es so eilig hast, dann setze am besten Neu auf.
Denn so eine widerspenstige Datei kann dann alles mögliche sein.
Und die übrigen Dateien sind auch nichts besonderes.

Ja, ich möchte ja neu Aufsetzten, aber das funktioniert ja nicht, weil sich die Acer eRecovery nicht öffnen lässt. (Wegen den fehlenden Berechtigungen)

Mfg Julian