Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Adminrechte weg ??? (https://www.trojaner-board.de/26728-adminrechte-weg.html)

MightyMarc 12.02.2006 16:31
Oh Fuck!

Stop treibgut. Mir ist da ein Fehler unterlaufen!!!!!

So muss es heissen:

del /F /S /Q %TEMP%\*.* >> C:\delbat.log
del /F /S /Q %TMP%\*.* >> C:\delbat.log
del /F /S /Q %SystemRoot%\Temp\*.* >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temporary Internet Files\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temp\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Cookies\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Eigene Downloads\*.*" >> C:\delbat.log
del /F /S /Q "C:\WINDOWS\system32\drivers\sysbus32.sys" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Windows*.*" >> C:\delbat.log

Wenn das schief geht kann ich aus dem Fenster springen...

treibgut 12.02.2006 16:53
Nee, noch nicht schiefgegangen

MightyMarc 12.02.2006 17:09
Heureka. Ich hatte mich schon nach den Kosten für ne Datenrettung erkundigt.....


Also, die korrigierte Fassung (bitte diese nehmen, da die erste korrigierte Fassung einen Fehler enthält, der eine Löschung unwirksam macht - nicht gefährlich aber unnötig):

del /F /S /Q %TEMP%\*.* >> C:\delbat.log
del /F /S /Q %TMP%\*.* >> C:\delbat.log
del /F /S /Q %SystemRoot%\Temp\*.* >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temporary Internet Files\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temp\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Cookies\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Eigene Downloads\*.*" >> C:\delbat.log
del /F /S /Q "C:\WINDOWS\system32\drivers\sysbus32.sys" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Windows\*.*" >> C:\delbat.log

Funktioniert das?

treibgut 12.02.2006 17:37
Hmm muss mal nachfragen.
Ich befinde mich in C:\Windows
Kann mich aber mit CD\ nicht direkt auf C: bewegen.
Ist das richtig ? muss ich die Datei aus C:\Windows starten ?

MightyMarc 12.02.2006 17:39
copy C:\del.bat C:\Windows

Dann kannst Du sie auch von C:\Windows aus starten.

treibgut 12.02.2006 17:41
ok, mir gings nur darum, ob ich sie auch von C:\windows starten darf

treibgut 12.02.2006 20:22
hmm,
das haut irgendwie nicht hin.
wenn ich del.bat eingebe, sagt er mir "Unbekannter Befehl"
Hab aber die Datei kopiert, und auch kontrolliert, ob sie da ist

Wenn ich nur del eingebe, will er natürlich Parameter haben

Ich glaub ich bin langsam zu alt für diesen Quatsch:mad:

MightyMarc 12.02.2006 20:33
Du könnest die Befehle natürlich auch einzeln eingeben, sowie sie dastehen. Allerdings in Anbetracht des Aufwands, der nötig ist um das System zu säubern multipliziert mit der Wahrscheilichkeit, dass das überhaupt funktioniert, wäre es vllt besser das System neuaufzusetzen.

Du könntest einen letztenVersuch unternehmen, indem Du versuchst, die del.bat im abgesicherten Modus zu starten.

treibgut 12.02.2006 20:46
huiii, es hat hingehauen.
Ich kann die schnellstartleiste wieder uneingeschränkt nutzen
Zur Sicherheit nochmal die

delbat.log

MightyMarc 12.02.2006 21:04
So jetzt bitte nochmal ein Rootkitrevelaer-Log und ein HJT-Log. Ich fürchte, so ganz ist der Patient nicht genesen.

treibgut 12.02.2006 22:30
So, Rootkit sagt : no discrpancies found

und hier hjt log

Logfile of HijackThis v1.99.1
Scan saved at 22:28:06, on 12.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\S\Eigene Dateien\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\S\LOKALE~1\Temp\RCQAFKAAUFI.exe
C:\Dokumente und Einstellungen\S\Eigene Dateien\Eigene Downloads\HijackThis.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATULL - Unknown owner - C:\DOKUME~1\S\LOKALE~1\Temp\ATULL.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: RCQAFKAAUFI - Sysinternals - www.sysinternals.com - C:\DOKUME~1\S\LOKALE~1\Temp\RCQAFKAAUFI.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

MightyMarc 13.02.2006 00:44
Das HJT sieht ein büschen strange aus. Ne ernste Empfehlung wäre die Daten zu sichern und das System neuaufzusetzen. Du hattest nen Backdoortrojaner drauf und der hat einiges an Deinem System rumgefrickelt. Keiner weiss genau was er gemacht hat.

Die Kiste läuft zwar wieder, aber man weiss nicht, ob und wenn ja, welche unsichtbaren Türchen geöffnet wurden.

Zumindest ein Scan mit eScan wäre ratsam:

http://www.trojaner-board.de/showthread.php?t=17492

Diese Datei C:\WINDOWS\system32\wscntfy.exe würde ich mal bei jotti prüfen lassen (auch wenn sie am richtigen Ort liegt).

treibgut 13.02.2006 17:00
Alles klar,

datei geprüft, is ok

und das System werd ich wohl neu installieren. Jetzt kann ich ja wieder auf alles zugreifen und die Dateien sichern

Vielen, vielen Dank an alle :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:35 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131