irus lechuck.a gehabt / gecleant.. aber keine rechte...

tocotronix · 15.11.2008, 19:01

Hallo,
also ich hab nun folgendes problem....

ich hatte einen virus auf dem laptop....

er hieß

lechuck.a

so da gabs folgende features Smiley

im system32 ordner war
lechuck.exe
wins.exe
cc.dl
Spolis.exe
regedit.com
cmd.com

regedit war gesperrt
konnte keinen virusscanner mehr installieren... selbst die suche nach nem virus scanner wurde im internet explorer und Firefox geblockt.
jegliche *.bat , *.com, *.exe usw waren in der regedit gesperrt
Der Taskmanager hat sich deaktiviert, sämtliche Antiviren exe Dateien werden von ihm gelöscht oder beim Ausführen behindert.
festplattenlink über arbeitsplatz war nicht mehr ok..
daher ich war komprimiert..
ich kam ja nicht mehr in irgendeine exe oder com rein..
daher ich kam nicht ins regedit

so das hab ich eigentlich über folgende bat datei gelöst:

taskkill /F /T /IM lechuck.exe /IM wins.exe > nul

attrib -r -h -s %systemroot%\system32\lechuck.exe > nul
attrib -r -h -s %systemroot%\system32\wins.exe > nul
attrib -r -h -s %systemroot%\regedit.com > nul
attrib -r -h -s %systemroot%\system32\cmd.com > nul
attrib -r -h -s %systemroot%\system32\cc.dll > nul
attrib -r -h -s %systemroot%\Spolis.exe > nul
attrib -r -h -s %systemroot%\..\autorun.inf > nul

reg delete HKLM\software\classes\exefile\shell\open\command /ve /f > nul
reg delete HKLM\software\classes\batfile\shell\open\command /ve /f > nul
reg delete HKLM\software\classes\piffile\shell\open\command /ve /f > nul
reg delete HKLM\software\classes\comfile\shell\open\command /ve /f > nul

reg add HKLM\software\classes\exefile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\batfile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\piffile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\comfile\shell\open\command /ve /f /t REG_SZ /d "\"%%1\" %%*" > nul

del %systemroot%\system32\lechuck.exe >> nul
del %systemroot%\system32\wins.exe >> nul
del %systemroot%\regedit.com > nul
del %systemroot%\system32\cmd.com > nul
del %systemroot%\system32\cc.dll > nul
del %systemroot%\Spolis.exe > nul
del %systemroot%\..\autorun.inf > nul

so virus war weg... aber nun hab ich den großen ärger...

es lässt sich keine exe öffnen... nix... keine systemsteuerung... ich kann höchstens ne exe öffnen wenn ich eine datei auswähle... öffne mit... und dann öffne mit der exe... maximal geht das...

ich hab keine rechte.. komm in nichts ausser computer verwaltung rein..

aber es sind ja alle bats coms exen gesperrt... das wird da sicher nicht drin stehen...

es lässt sich regedit nichtmal mit

Option Explicit

'Declare variables
Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers
Dim enab, disab, jobfunc, itemtype

Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"
p = p & "DisableRegistryTools"
itemtype = "REG_DWORD"
mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"
enab = "ENABLED"
disab = "DISABLED"
jobfunc = "Registry Editing Tools are now "

'This section tries to read the registry key value. If not present an
'error is generated. Normal error return should be 0 if value is
'present
t = "Confirmation"
Err.Clear
On Error Resume Next
n = WSHShell.RegRead (p)
On Error Goto 0
errnum = Err.Number

if errnum <> 0 then
'Create the registry key value for DisableRegistryTools with value 0
WSHShell.RegWrite p, 0, itemtype
End If

'If the key is present, or was created, it is toggled
'Confirmations can be disabled by commenting out
'the two MyBox lines below

If n = 0 Then
n = 1
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
n = 0
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
End If

aktivieren oder mit

Option Explicit
Dim frage
Dim WshShell

Set WshShell = WScript.CreateObject("Wscript.Shell")
frage = MsgBox ("Script ausführen?",36 , "DisableRegistryTools")

If frage = 6 Then
On Error Resume Next
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\" _
& "Policies\System\DisableRegistryTools"

MsgBox "Sollte Regedit nach klicken auf ""OK"" nicht starten,"_
& " bitte das System rebooten!",64,"Starte Regedit"
WshShell.run "Regedit.exe"

Else
MsgBox "OK" ,64 , "!"
End If

öffnen

es hilft null.... ich brauch rechte..

es steht immer da zugriff verweigert.....

oder

wenn ich auf systemsterung gehen will kommt:

"Auf das angegebene Gerät bzw. Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können"

hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:29, on 15.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Firefox\App\firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\Kopie von HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Security Task Manager\TaskMan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - Default URLSearchHook is missing
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\system32\msconfig.exe /auto
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C320BA10-3891-4414-AF8C-7C350331AB92}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

--
End of file - 5196 bytes

irus lechuck.a gehabt / gecleant.. aber keine rechte...

Plagegeister aller Art und deren Bekämpfung: irus lechuck.a gehabt / gecleant.. aber keine rechte...

irus lechuck.a gehabt / gecleant.. aber keine rechte...

Ähnliche Themen: irus lechuck.a gehabt / gecleant.. aber keine rechte...