Fehlende Adminrechte - "Keine ausreichende Berechtigung, um auf Elemente zugreifen zu könnnen."

copytester

hola community...ich hoffe, dass mir jemand helfen kann.

habe folgende probleme, bin in XP leider nicht der versierteste.
folgende fehlermeldung erhalte ich, wenn ich z.b. auf das "windows sicherheitswarnungen" icon klicke:

rundll32.exe
"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evetuell nicht über ausreichende Berechtigung, um auf das Element zugreifen zu könnnen."

habe früher mal die automatischen windows updates deaktiviert.
das problem zeigte sich aber erst am samstag, den 23.10.

selbe meldung bei UpdateWizard.exe von Tuneup Utilities.
bei Gdata sowie beim Spybot wurden die updates nicht durchgeführt, d.h. ein scan wurde geblockt.
Combofix konnte auch nicht aktiviert werden, fehlermeldung s.o.

ähnliches spiel bei einer versuchten Neuinstallation von Antivir. kein setup möglich. presetup.exe:
"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evetuell nicht über ausreichende Berechtigung, um auf das Element zugreifen zu könnnen."

auffällig auch:
- die reparaturfunktion der windows cd kann nicht gestartet werden.
- unter systemsteuerung/software funktioniert punkt: windows komponenten hinzufügen/entfernen nicht.
- frühere wiederherstellungspunkte ( z.b. letzten freitag) können nicht aufgerufen werden. es lässt sich auch nicht mehr in den monaten blättern.
- der ordner system weist eine hohe speicherauslastung von 110.640 aus.
- die auslagarungsdatei des task managers wächst stetig bis auf ca. 1 GB - 1,3 GB an.
- insgesamt sind unter prozesse im task manager 7 svchost.exe einträge zu sehen (4x system, 1x lokaler dienst, 2x netzwerkdienst).
- diverse warnungen und fehlermeldungen in der systemsteuerung/ computerverwaltung - unter "anwendung" (MsiInstaller) oder "system" (DCOM: ereignis 10005, Service Control Manager: ereignis 7023, 7035, 7036)

habe leider keinen plan, was das alles bedeutet.

ich habe bisher admin rechte gehabt.

ich denke, dass ich mir samstag einen virus/trojaner gefangen hatte, der sich zigmal verbreitete.
das problem äußerte sich so, dass ständig im IE 7 werbung aufpoppte, obwohl dieser nicht genutzt wurde.

folgendes wurde gefunden, wohl aber nicht sauber entfernt:
ZX0.exe bis ZX9.exe im temp Ordner
zpacya – zpacyc im windows ordner.
und "sshnas21.dll"

hier die logfile, von derem inhalt und deren auswertung ich aber eigentlich 0-plan habe:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:10:16, on 28.10.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG10\avgchsvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVG\AVG10\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Programme\AVG\AVG10\avgfws.exe
C:\Programme\AVG\AVG10\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\Programme\AVG\AVG10\avgam.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVG\AVG10\avgnsx.exe
C:\Programme\AVG\AVG10\avgemcx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG10\avgcsrvx.exe
C:\Programme\Opera\opera.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\AVG\AVG10\avgrsx.exe
C:\Programme\AVG\AVG10\avgcsrvx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\xxx\Desktop\Tools\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*h**p://de.search.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG10\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll
O3 - Toolbar: Gutscheinmieze - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Gutscheinmieze\toolbar.dll
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG_TRAY] C:\Programme\AVG\AVG10\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SB1.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231255744859
O17 - HKLM\System\CCS\Services\Tcpip\..\{91773153-69B8-44F7-AEED-78CB9416BEFE}: NameServer = 62.109.123.196 213.191.74.18
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG10\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Firewall (avgfws) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgfws.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6159 bytes

ein "Blacklight" scan zeigte nichts an.
10/28/10 13:47:48 [Info]: BlackLight Engine 2.2.1092 initialized
10/28/10 13:47:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/28/10 13:47:49 [Note]: 7019 4
10/28/10 13:47:49 [Note]: 7005 0
10/28/10 13:47:49 [Error]: 6021 32
10/28/10 13:48:05 [Note]: 7006 0
10/28/10 13:48:05 [Note]: 7011 1000
10/28/10 13:48:05 [Note]: 7035 0
10/28/10 13:48:05 [Note]: 7026 0
10/28/10 13:48:05 [Note]: 7026 0
10/28/10 13:48:07 [Note]: FSRAW library version 1.7.1024
10/28/10 13:52:42 [Note]: 7007 0

mbr:
Windows 5.1.2600 Disk: ST3120023A rev.3.30 -> \Device\Ide\IdeDeviceP0T0L0-4
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Malwarebytes:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4966
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

28.10.2010 16:07:08
mbam-log-2010-10-28 (16-07-08).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 355967
Laufzeit: 1 Stunde(n), 30 Minute(n), 2 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\System Volume Information\_restore{D61276B3-29BD-495B-A5D2-5F78E2F7C9C1}\RP331\A0070532.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

- yahoo search und dieser Gutscheinmieze eintrag sollen gar nicht genutzt werden.
- sagt jemandem das systemstart element E_SB1 etwas ? ist es schädlich ?

wäre top, wenn mir jemand kundig mit verständlichen worten oder einer to-do-list auf die sprünge helfen kann.
möglichst ohne xp komplett neu aufzuspielen, zumal das von der cd im moment auch gar nichts wird.
falls noch was gebraucht wird, ich stehe spalier.....
many many thx in advance
RAIN