|
Fehlende Berechtingungen Hallo, ich habe das Acer Notebook Aspire 3682 150 und habe folgendes Problem: Wie ich über Google herausgefunden habe, habe ich mit wahrscheinlich einen Blaster Wurm oder so etwas ähnliches eingefangen. Ich möchte eigentlich nur den PC neu aufsetzten aber das geht leider nicht. Zur Neuinstallation möchte ich die Acer eRecovery benutzen aber egal welches Acer oder Windows Programm ich anklicke erschein die Meldung: "Auf das angegebene Gerät, bzw. den Pfad kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können." Bitte um Hilfe! MfG Julian Hier das HiJackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:09:20, on 06.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Acer\Empowering Technology\ePerformance\MemCheck.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\RTHDCPL.EXE C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\DOKUME~1\XXX~1\LOKALE~1\Temp\winlogen.exe C:\WINDOWS\system32\drivers\svchost.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: C:\WINDOWS\system32\ksaf83hfd.dll - {c5bf49a2-94f3-42bd-f434-3604812c897d} - C:\WINDOWS\system32\ksaf83hfd.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0 O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\winlogen.exe O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKCU\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\winlogen.exe O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acer Empowering Technology.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programme\Delicious - Emily's Tea Garden\Images\stg_drm.ocx O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programme\Delicious - Emily's Tea Garden\Images\armhelper.ocx O20 - Winlogon Notify: c00bea32 - C:\WINDOWS\SYSTEM32\c00BEA32.mat O20 - Winlogon Notify: sys32 - sys32.dll (file missing) O22 - SharedTaskScheduler: lksdfj98w3rmsekfnaui3rgfdgf - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\ksaf83hfd.dll O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe O23 - Service: ASP.NET-Statusdienst (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: Indexdienst (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe O23 - Service: COM+-Systemanwendung (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe O23 - Service: CyberLink Media Library Service - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: IMAPI-CD-Brenn-COM-Dienste (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: RPC-Locator (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe O23 - Service: QoS-RSVP (RSVP) - Unknown owner - C:\WINDOWS\system32\rsvp.exe O23 - Service: Smartcard (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe O23 - Service: Leistungsdatenprotokolle und Warnungen (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Unterbrechungsfreie Stromversorgung (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe O23 - Service: Volumeschattenkopie (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe -- End of file - 9506 bytes |
Hallo JulianZ :hallo: Das du keine Rechte mehr hast, liegt wohl an dem Eintrag: Zitat:
und dann noch diese: Zitat:
Danach müsste eine Neuinstallation funktionieren. |
Hi danke schon mal. Aber das: O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\winlogen.exe erstellt sich nach dem Neustart wieder von selbst. Muss ich die dateien nach dem Fixen auch noch einzeln löschen?(im jeweiligen Verzeichnis? Und wie fixe ich diese Einträge?: C:\DOKUME~1\XXX~1\LOKALE~1\Temp\winlogen.exe C:\WINDOWS\system32\drivers\svchost.exe Mfg Julian Edit: Ach ja und irgentwie haben ich immer noch keine Berechtigungen obwohl ich den Registrierungseintrag auf 0 gesetzt habe. |
Hallo ihr, könntest du evtl. die folgenden Dateien bei VirusTotal - Free Online Virus and Malware Scan hochladen und die kompletten Ergebnisse posten? Code: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Window s\lsass.exe |
Hi die lsass.exe datei finde ich leider nicht auf meinem PC, aber hier ist das Ergebniss für winlogen.exe: File winlogen.exe received on 11.05.2008 16:02:33 (CET) Antivirus Version Last Update Result AhnLab-V3 2008.11.5.3 2008.11.05 - AntiVir 7.9.0.26 2008.11.05 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2008.11.05 - Avast 4.8.1248.0 2008.11.04 Win32:Lighty-B AVG 8.0.0.161 2008.11.05 SHeur.CQFG BitDefender 7.2 2008.11.05 Packer.Malware.Lighty.N CAT-QuickHeal 9.50 2008.11.04 - ClamAV 0.94.1 2008.11.05 - DrWeb 4.44.0.09170 2008.11.05 Trojan.Packed.1208 eSafe 7.0.17.0 2008.11.05 - eTrust-Vet 31.6.6190 2008.11.05 Win32/FakeAlert.IJ Ewido 4.0 2008.11.05 - F-Prot 4.4.4.56 2008.11.05 - F-Secure 8.0.14332.0 2008.11.05 - Fortinet 3.117.0.0 2008.11.05 - GData 19 2008.11.05 Packer.Malware.Lighty.N Ikarus T3.1.1.45.0 2008.11.05 VirTool.Win32.Obfuscator.DF K7AntiVirus 7.10.516 2008.11.04 - Kaspersky 7.0.0.125 2008.11.05 - McAfee 5424 2008.11.04 Generic.dx Microsoft 1.4005 2008.11.05 Trojan:Win32/Ertfor.A NOD32 3586 2008.11.05 probably a variant of Win32/TrojanDownloader.Small.NTQ Norman 5.80.02 2008.11.05 - Panda 9.0.0.4 2008.11.05 Generic Malware PCTools 4.4.2.0 2008.11.05 - Prevx1 V2 2008.11.05 Worm Rising 21.02.22.00 2008.11.05 - SecureWeb-Gateway 6.7.6 2008.11.05 Trojan.Crypt.XPACK.Gen Sophos 4.35.0 2008.11.05 - Sunbelt 3.1.1783.2 2008.11.05 Trojan-Clicker.Win32.Agent.sea Symantec 10 2008.11.05 Trojan.Virantix.C TheHacker 6.3.1.1.140 2008.11.05 - TrendMicro 8.700.0.1004 2008.11.05 - VBA32 3.12.8.9 2008.11.05 - ViRobot 2008.11.5.1453 2008.11.05 - VirusBuster 4.5.11.0 2008.11.05 Trojan.FakeAlert.Gen!Pac.3 Additional information File size: 15000 bytes MD5...: f542d1186e1a342916a24ce8d8f3a2b8 SHA1..: 6aaa4a2f9412c0fc565297ad7ae1dd1e8533129c SHA256: 838026efe27e7ead053f0bc1186291b8eba85198cf1dbb815b8a9ac52db5dd45 SHA512: b6337beae21600223eaf012feeea325cb1d0bd0930c3eb4effddc52079954339<br>aa51dfd1993e1bcdc94ea2d94aaaa4d651c0d9d88ceee5576b3a4793863ac5f7 PEiD..: - TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x401008<br>timedatestamp.....: 0x48ff3b94 (Wed Oct 22 14:41:24 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x2000 0x200 5.03 1d35d9bb08f731ee56f34c95531c661e<br>.data 0x3000 0x2000 0x1e00 7.22 de10d81d7607c6985ff2a1fb2f5b1b79<br>.xdata 0x5000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rsrc 0x8000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br><br>( 3 imports ) <br>> KERNEL32.DLL: CloseHandle, CreatePipe, ExitProcess, FreeEnvironmentStringsW, GetBinaryType, GetCommMask, GetCommModemStatus, GetConsoleOutputCP, GetEnvironmentVariableW, GetFullPathNameW, GetHandleInformation, GetProfileIntW, GetThreadLocale, GlobalUnWire, GlobalUnfix, HeapReAlloc, LocalShrink, LockFile, LockFileEx, OpenFileMappingA, OpenFileMappingW, OpenSemaphoreA, SetCriticalSectionSpinCount, SetFileApisToANSI, SetLocaleInfoA, SetStdHandle, WriteFile, WriteProcessMemory, WriteProfileStringA, lstrcmpiA<br>> USER32.DLL: ArrangeIconicWindows, CascadeChildWindows, CharToOemW, CloseDesktop, CopyRect, CreateAcceleratorTableA, DefDlgProcA, DeleteMenu, DrawAnimatedRects, EndTask, GetDlgCtrlID, GetGuiResources, GetInputState, GetKeyNameTextW, GetSubMenu, GrayStringA, GrayStringW, IsDialogMessage, LoadAcceleratorsA, LoadAcceleratorsW, LoadCursorA, LoadMenuIndirectA, MessageBoxW, RegisterLogonProcess, SetFocus, SetLastErrorEx, SetParent, SetRectEmpty, SetWindowsHookA, WINNLSGetIMEHotkey<br>> GDI32.DLL: CloseEnhMetaFile, CopyMetaFileA, CreateBitmapIndirect, CreateDiscardableBitmap, CreateFontIndirectA, CreatePatternBrush, CreateRoundRectRgn, DeleteColorSpace, DeleteObject, DeviceCapabilitiesExA, GdiGetBatchLimit, GetCharABCWidthsW, GetClipRgn, GetColorSpace, GetPaletteEntries, GetROP2, GetRasterizerCaps, GetTextCharsetInfo, GetWorldTransform, PaintRgn, PatBlt, ResizePalette, SelectPalette, SetROP2, SetRectRgn, SetWindowExtEx, TranslateCharsetInfo, UpdateColors<br><br>( 0 exports ) <br> Prevx info: http://info.prevx.com/aboutprogramte...8624003DC849B3 |
Zitat:
Auch den Eintrag, den du auf 0 gesetzt hast. |
So ich habe jetzt alles gefixt bis auf diesen beiden Einträge weil ich sie nicht finde: C:\DOKUME~1\XXX~1\LOKALE~1\Temp\winlogen.exe C:\WINDOWS\system32\drivers\svchost.exe Aber das mit den Berechtigungen hat sich immernoch nicht verändert. Edit: Ich habe jetzt die svchost.exe im angegebenen Verzeichniss gefunden, kann ich sie jetzt schreddern oder muss das über HijackThis laufen? Denn in HijackThis finde ich beide einträge nicht. Wenn ja kann ich dann mit winlogen.exe genauso vorgehen? |
Zitat:
|
So ich habe jetzt alles Sichtbar gemacht und auch die lsass.exe gefunden, aber als ich sie bei Virus Total hochladen wollte kam diese Meldung: 0 bytes size received / Se ha recibido un archivo vacio Soll ich die dateien lsass.exe und winlgen.exe vielleicht einfach schreddern? MfG Julian |
Zitat:
Boote dann wieder in den normalen Modus, jetzt solltest du sie hochladen können. |
Ich hab den pc jetzt im Abgesicherten Modus aber der explorer.exe startet nicht und man kann ihn auch nicht starten und jetzt kann ich die lsass.exe nicht verschieben. Kann man da irgentwas machen, oder anders an die lsass.exe kommen? Julian |
Ja, versuch es im normalen Modus. Kopiere sie auf den Desktop, nenne sie dann um oder verpacke sie dann in ein ZIP-Archiv. |
((Ich hab den explorer.exe noch starten können aber jetzt startet er im Normalen Modus nicht mehr)) Edit: So, geht wieder alles. Ich habe die datei auf den Desktop kopiert und sie umbenannt, aber es komt immer noch die selbe Meldung beim Hochladen. Edit2: Ich möchte eigentlich nur die Berechtigungen wieder erlangen. Wie kann ich da vorgehen? Bitte und Hilfe. MfG Julian |
Hi Also wenn du es so eilig hast, dann setze am besten Neu auf. Denn so eine widerspenstige Datei kann dann alles mögliche sein. Und die übrigen Dateien sind auch nichts besonderes. |
Ja, ich möchte ja neu Aufsetzten, aber das funktioniert ja nicht, weil sich die Acer eRecovery nicht öffnen lässt. (Wegen den fehlenden Berechtigungen):killpc: Mfg Julian |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board