| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Fehlende Adminrechte - "Keine ausreichende Berechtigung, um auf Elemente zugreifen zu könnnen."Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.10.2010, 15:44
| #1 |
 |  Fehlende Adminrechte - "Keine ausreichende Berechtigung, um auf Elemente zugreifen zu könnnen." hola community...ich hoffe, dass mir jemand helfen kann. habe folgende probleme, bin in XP leider nicht der versierteste. folgende fehlermeldung erhalte ich, wenn ich z.b. auf das "windows sicherheitswarnungen" icon klicke: rundll32.exe "Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evetuell nicht über ausreichende Berechtigung, um auf das Element zugreifen zu könnnen." habe früher mal die automatischen windows updates deaktiviert. das problem zeigte sich aber erst am samstag, den 23.10. selbe meldung bei UpdateWizard.exe von Tuneup Utilities. bei Gdata sowie beim Spybot wurden die updates nicht durchgeführt, d.h. ein scan wurde geblockt. Combofix konnte auch nicht aktiviert werden, fehlermeldung s.o. ähnliches spiel bei einer versuchten Neuinstallation von Antivir. kein setup möglich. presetup.exe: "Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evetuell nicht über ausreichende Berechtigung, um auf das Element zugreifen zu könnnen." auffällig auch: - die reparaturfunktion der windows cd kann nicht gestartet werden. - unter systemsteuerung/software funktioniert punkt: windows komponenten hinzufügen/entfernen nicht. - frühere wiederherstellungspunkte ( z.b. letzten freitag) können nicht aufgerufen werden. es lässt sich auch nicht mehr in den monaten blättern. - der ordner system weist eine hohe speicherauslastung von 110.640 aus. - die auslagarungsdatei des task managers wächst stetig bis auf ca. 1 GB - 1,3 GB an. - insgesamt sind unter prozesse im task manager 7 svchost.exe einträge zu sehen (4x system, 1x lokaler dienst, 2x netzwerkdienst). - diverse warnungen und fehlermeldungen in der systemsteuerung/ computerverwaltung - unter "anwendung" (MsiInstaller) oder "system" (DCOM: ereignis 10005, Service Control Manager: ereignis 7023, 7035, 7036) habe leider keinen plan, was das alles bedeutet. ich habe bisher admin rechte gehabt. ich denke, dass ich mir samstag einen virus/trojaner gefangen hatte, der sich zigmal verbreitete. das problem äußerte sich so, dass ständig im IE 7 werbung aufpoppte, obwohl dieser nicht genutzt wurde. folgendes wurde gefunden, wohl aber nicht sauber entfernt: ZX0.exe bis ZX9.exe im temp Ordner zpacya – zpacyc im windows ordner. und "sshnas21.dll" hier die logfile, von derem inhalt und deren auswertung ich aber eigentlich 0-plan habe: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 13:10:16, on 28.10.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\PROGRA~1\AVG\AVG10\avgchsvx.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AVG\AVG10\avgtray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe C:\Programme\AVG\AVG10\avgfws.exe C:\Programme\AVG\AVG10\avgwdsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe C:\Programme\AVG\AVG10\avgam.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\AVG\AVG10\avgnsx.exe C:\Programme\AVG\AVG10\avgemcx.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVG\AVG10\avgcsrvx.exe C:\Programme\Opera\opera.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\PROGRA~1\AVG\AVG10\avgrsx.exe C:\Programme\AVG\AVG10\avgcsrvx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\xxx\Desktop\Tools\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*h**p://de.search.yahoo.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG10\avgssie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll O3 - Toolbar: Gutscheinmieze - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Gutscheinmieze\toolbar.dll O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG_TRAY] C:\Programme\AVG\AVG10\avgtray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SB1.tmp" /EF "HKCU" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231255744859 O17 - HKLM\System\CCS\Services\Tcpip\..\{91773153-69B8-44F7-AEED-78CB9416BEFE}: NameServer = 62.109.123.196 213.191.74.18 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG10\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: AVG Firewall (avgfws) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgfws.exe O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgwdsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 6159 bytes ein "Blacklight" scan zeigte nichts an. 10/28/10 13:47:48 [Info]: BlackLight Engine 2.2.1092 initialized 10/28/10 13:47:48 [Info]: OS: 5.1 build 2600 (Service Pack 2) 10/28/10 13:47:49 [Note]: 7019 4 10/28/10 13:47:49 [Note]: 7005 0 10/28/10 13:47:49 [Error]: 6021 32 10/28/10 13:48:05 [Note]: 7006 0 10/28/10 13:48:05 [Note]: 7011 1000 10/28/10 13:48:05 [Note]: 7035 0 10/28/10 13:48:05 [Note]: 7026 0 10/28/10 13:48:05 [Note]: 7026 0 10/28/10 13:48:07 [Note]: FSRAW library version 1.7.1024 10/28/10 13:52:42 [Note]: 7007 0 mbr: Windows 5.1.2600 Disk: ST3120023A rev.3.30 -> \Device\Ide\IdeDeviceP0T0L0-4 device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4966 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.13 28.10.2010 16:07:08 mbam-log-2010-10-28 (16-07-08).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 355967 Laufzeit: 1 Stunde(n), 30 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: D:\System Volume Information\_restore{D61276B3-29BD-495B-A5D2-5F78E2F7C9C1}\RP331\A0070532.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully. - yahoo search und dieser Gutscheinmieze eintrag sollen gar nicht genutzt werden. - sagt jemandem das systemstart element E_SB1 etwas ? ist es schädlich ? wäre top, wenn mir jemand kundig mit verständlichen worten oder einer to-do-list auf die sprünge helfen kann. möglichst ohne xp komplett neu aufzuspielen, zumal das von der cd im moment auch gar nichts wird. falls noch was gebraucht wird, ich stehe spalier..... many many thx in advance RAIN |
| Themen zu Fehlende Adminrechte - "Keine ausreichende Berechtigung, um auf Elemente zugreifen zu könnnen." |
| adobe, avg, bho, desktop, einstellungen, error, fehlermeldung, firefox, gdata, gebraucht, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, msiinstaller, prozesse, riskware.tool.ck, scan, svchost.exe, temp, updates, virus/trojaner, werbung, windows, windows updates, windows xp, yahoo search, {dfefcdee-cf1a-4fc8-88ad-48514e463b27} |
Baum-Darstellung