|
Adminrechte weg ??? Hallo, ich habe folgendes Problem: Nach dem Start des PC´s ist ca. 30-40 sec die Schnellstartleiste ok. Danach wird von irgendeinem "Programm" die Kontrolle übernommen. Wenn ich einen Button anklicke, erscheint folgende Fehlermeldung: Auf das angegebene Gerät, bzw. Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können" Wenn ich Firefox und Thunderbird starte, sind sie im Urzustand. Alle Mails und Links sind nicht vorhanden. Nur kurz nach dem Start klappt alles. Also sind sie ja noch irgendwo. Das kommt mir vor, als wenn jemand die Adminrechte übernommen oder gesperrt hat, bzw. die Benutzerkonten. (Vielleicht ein wenig blöd ausgedrückt) Hjt kann ich z.b. auch nicht ausführen, sondern nur umittelbar nach dem Start, solange noch alles ok ist. Ich habe Hjt ausgeführt und einige Einträge, die mir seltsam vorkamen gefixt. War vielleicht etwas voreilig, und geholfen hat es auch nichts. Ich hoffe nicht, dass ich das System neu installieren muss. Für die Hilfe schon einmal Danke im Voraus Logfile of HijackThis v1.99.1 Scan saved at 15:06:29, on 11.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\S\Eigene Dateien\HijackThis.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE |
Hallo, hast Du den gernerell mehrere Accounts auf Deinem Rechner? Erstelle bitte ein neues HJT Log: entpacke HJT in einen Ordner , z.B.: c:\programme\hjt Dann in diesem Ordner Rechtsklick auf die HJT exe und ausführen als anklicken, hier jetzt die Anmeldedaten für den Account mit den kompletten Rechten angeben. Dannach das neue Log posten. Gruß Schrulli |
Hi, nein ich habe eigentlich nur einen einzigen Account, hab aber eine zweiten jetzt mal angelegt hab Hjt nur als .exe, weil ich es nirgends runterladen konnte. Habs noch auf ne Backup Cd gehabt Auch wenn ich rechtsklick "ausführen als " mache, verweigert es die ausführung Ich kann es nur direkt nach dem Neustart machen, dazu habe ich ca.40 sec zeit es zu starten |
Lässt sich RootKitRevealer ausführen? |
mhh, auch den downloadlink kann ich nicht nutzen. Kann es sein, das dieser "Virus" all solche links sperrt ? Denn Hjt konnt ich auf keiner der angebotenen Seiten runterladen Nachtrag: Hab jetzt mit Umwegen diesen RootKit... runtergeladen und entpackt. Gleiches Ergebnis. Gleiche Fehlermeldung |
Hallo, lade folgende Dateien bei Jotii hoch: Ati2evxx.exe userinit.exe und poste das Ergbnis. Gruß Schrulli |
@Schrulli Ati2evxx.exe userinit.exe Beide sind im System32 Ordner, wo sie auch sein sollen, also ist es wohl keine Malware. Grüße Wildone |
Just an idea: Erstelle eine Textdatei, kopiere die folgenden Zeilen und speichere die Datei als "info.bat" (mit Anführungszeichen) auf dem Desktop. Nach einem Neustart, sofort die Datei ausführen und den Inhalt der hoffentlich erstellten Datei C:\info.log hier posten. Zur Not das ganze mal im abgesicherten Modus versuchen. @echo off date /T >> info.log time /T >> info.log ver >> info.log tasklist /V >> C:\info.log echo Autostarts >> C:\info.log reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> C:\info.log reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce >> C:\info.log reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx >> C:\info.log reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> C:\info.log reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce >> C:\info.log echo BHOs >> C:\info.log reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" >> C:\info.log reg query "HKLM\SOFTWARE\Windows\CurrentVersion\Explorer\Browser Helper Objects" >> C:\info.log echo Services >> C:\info.log reg query HKLM\SYSTEM\CurrentControlSet\Services >> C:\info.log |
Leider nur dieses Ergebnis nach dem neustart und im abgesicherten Modus Microsoft Windows XP [Version 5.1.2600] 11.02.2006 18:01 Microsoft Windows XP [Version 5.1.2600] 11.02.2006 18:01 Microsoft Windows XP [Version 5.1.2600] 11.02.2006 18:07 Habe gerade gemerkt, dass die meisten verknüpfungen auf dem Desktop auch nicht funktionieren Die beiden Dateien hab ich spasseshalber mal geprüft, sind ok, so wie du sagtest |
Du hast Windows XP Pro, oder? Kommst Du in die Reparaturkonsole? |
ja hab xp pro wo ist die rep.Konsole, bzw wie komme ich da hin ? |
Starten der Windows-Wiederherstellungskonsole Verwenden Sie eine der folgenden Methoden, um die Windows-Wiederherstellungskonsole zu starten: • Starten Sie den Computer mithilfe der Windows-Setupdisketten oder der Windows-CD. Drücken Sie im Begrüßungsbildschirm die Taste [F10] oder die Taste [R], um die Installation zu reparieren. Teste das einfach mal (vor allem, ob Du Dich dort Einloggen kannst) Du wirst afaik das Passwort von "Administrator" benötigen. @ die anderen: ist einen Bearbeitung der Registry von der Console überhaupt möglich? |
Die Reparaturkonsole hilft nicht weiter Die Eingabe des Admin-Kennwortes bestätige ich mit [Enter], da ich keines in Gebrauch habe. Danach steht das System Kann nur noch mit EXIT die DOS-Oberfläche verlassen Nachtrag: Hab jetzt den RootkitRevealer augeführt, kann damit aber nix anfangen |
Zitat:
Im ersteren Fall könntest Du uns mal mit dem Output beglücken (File -> save). |
Kann mit dem Output nix anfangen Das Posten des Ergebnisses klappt nicht, das sind viel zuviele zeichen. Ich darf nur 25000 und das sind über 1 mio Die Datei wäre 870 kb gross Ist doch richtig ? Nur Scannen lassen, oder ? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board