|
Adminrechte weg ??? Hallo, ich habe folgendes Problem: Nach dem Start des PC´s ist ca. 30-40 sec die Schnellstartleiste ok. Danach wird von irgendeinem "Programm" die Kontrolle übernommen. Wenn ich einen Button anklicke, erscheint folgende Fehlermeldung: Auf das angegebene Gerät, bzw. Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können" Wenn ich Firefox und Thunderbird starte, sind sie im Urzustand. Alle Mails und Links sind nicht vorhanden. Nur kurz nach dem Start klappt alles. Also sind sie ja noch irgendwo. Das kommt mir vor, als wenn jemand die Adminrechte übernommen oder gesperrt hat, bzw. die Benutzerkonten. (Vielleicht ein wenig blöd ausgedrückt) Hjt kann ich z.b. auch nicht ausführen, sondern nur umittelbar nach dem Start, solange noch alles ok ist. Ich habe Hjt ausgeführt und einige Einträge, die mir seltsam vorkamen gefixt. War vielleicht etwas voreilig, und geholfen hat es auch nichts. Ich hoffe nicht, dass ich das System neu installieren muss. Für die Hilfe schon einmal Danke im Voraus Logfile of HijackThis v1.99.1 Scan saved at 15:06:29, on 11.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\S\Eigene Dateien\HijackThis.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE |
Hallo, hast Du den gernerell mehrere Accounts auf Deinem Rechner? Erstelle bitte ein neues HJT Log: entpacke HJT in einen Ordner , z.B.: c:\programme\hjt Dann in diesem Ordner Rechtsklick auf die HJT exe und ausführen als anklicken, hier jetzt die Anmeldedaten für den Account mit den kompletten Rechten angeben. Dannach das neue Log posten. Gruß Schrulli |
Hi, nein ich habe eigentlich nur einen einzigen Account, hab aber eine zweiten jetzt mal angelegt hab Hjt nur als .exe, weil ich es nirgends runterladen konnte. Habs noch auf ne Backup Cd gehabt Auch wenn ich rechtsklick "ausführen als " mache, verweigert es die ausführung Ich kann es nur direkt nach dem Neustart machen, dazu habe ich ca.40 sec zeit es zu starten |
Lässt sich RootKitRevealer ausführen? |
mhh, auch den downloadlink kann ich nicht nutzen. Kann es sein, das dieser "Virus" all solche links sperrt ? Denn Hjt konnt ich auf keiner der angebotenen Seiten runterladen Nachtrag: Hab jetzt mit Umwegen diesen RootKit... runtergeladen und entpackt. Gleiches Ergebnis. Gleiche Fehlermeldung |
Hallo, lade folgende Dateien bei Jotii hoch: Ati2evxx.exe userinit.exe und poste das Ergbnis. Gruß Schrulli |
@Schrulli Ati2evxx.exe userinit.exe Beide sind im System32 Ordner, wo sie auch sein sollen, also ist es wohl keine Malware. Grüße Wildone |
Just an idea: Erstelle eine Textdatei, kopiere die folgenden Zeilen und speichere die Datei als "info.bat" (mit Anführungszeichen) auf dem Desktop. Nach einem Neustart, sofort die Datei ausführen und den Inhalt der hoffentlich erstellten Datei C:\info.log hier posten. Zur Not das ganze mal im abgesicherten Modus versuchen. @echo off date /T >> info.log time /T >> info.log ver >> info.log tasklist /V >> C:\info.log echo Autostarts >> C:\info.log reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> C:\info.log reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce >> C:\info.log reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx >> C:\info.log reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> C:\info.log reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce >> C:\info.log echo BHOs >> C:\info.log reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" >> C:\info.log reg query "HKLM\SOFTWARE\Windows\CurrentVersion\Explorer\Browser Helper Objects" >> C:\info.log echo Services >> C:\info.log reg query HKLM\SYSTEM\CurrentControlSet\Services >> C:\info.log |
Leider nur dieses Ergebnis nach dem neustart und im abgesicherten Modus Microsoft Windows XP [Version 5.1.2600] 11.02.2006 18:01 Microsoft Windows XP [Version 5.1.2600] 11.02.2006 18:01 Microsoft Windows XP [Version 5.1.2600] 11.02.2006 18:07 Habe gerade gemerkt, dass die meisten verknüpfungen auf dem Desktop auch nicht funktionieren Die beiden Dateien hab ich spasseshalber mal geprüft, sind ok, so wie du sagtest |
Du hast Windows XP Pro, oder? Kommst Du in die Reparaturkonsole? |
ja hab xp pro wo ist die rep.Konsole, bzw wie komme ich da hin ? |
Starten der Windows-Wiederherstellungskonsole Verwenden Sie eine der folgenden Methoden, um die Windows-Wiederherstellungskonsole zu starten: • Starten Sie den Computer mithilfe der Windows-Setupdisketten oder der Windows-CD. Drücken Sie im Begrüßungsbildschirm die Taste [F10] oder die Taste [R], um die Installation zu reparieren. Teste das einfach mal (vor allem, ob Du Dich dort Einloggen kannst) Du wirst afaik das Passwort von "Administrator" benötigen. @ die anderen: ist einen Bearbeitung der Registry von der Console überhaupt möglich? |
Die Reparaturkonsole hilft nicht weiter Die Eingabe des Admin-Kennwortes bestätige ich mit [Enter], da ich keines in Gebrauch habe. Danach steht das System Kann nur noch mit EXIT die DOS-Oberfläche verlassen Nachtrag: Hab jetzt den RootkitRevealer augeführt, kann damit aber nix anfangen |
Zitat:
Im ersteren Fall könntest Du uns mal mit dem Output beglücken (File -> save). |
Kann mit dem Output nix anfangen Das Posten des Ergebnisses klappt nicht, das sind viel zuviele zeichen. Ich darf nur 25000 und das sind über 1 mio Die Datei wäre 870 kb gross Ist doch richtig ? Nur Scannen lassen, oder ? |
Lade die Datei bei http://rapidshare.de/ hoch. Und poste dann den Downloadlink, der Dir unten auf der Seite angeziegt wird. |
So, hab die datei mal hochgeladen. Wer sich die mühe machen will............ http://rapidshare.de/files/13098421/rootkitlog.txt.html |
OK, erstmal das ganze im abgesicherten Modus versuchen: Diesen Fix runterladen, entpacken und dann in den abgesicherten Modus wechseln und die RunThis.bat ausführen Enpacke die Datei am besten nach C:\ ). http://swandog46.geekstogo.com/aproposfix.exe Danach nochmal RKR laufen lassen und berichten. Sollte das nicht gefunzt haben, werden wir über die Recovery Konsole was versuchen müssen. Kleine Anmerkung: Wenn man mit Cracks rummacht, braucht man sich nicht wundern, wenn es einem das System zerschiesst! |
Danke für die Anmerkung, bekenne mich schuldig :) |
Hallo, @MM wie kommst du auf Apropos? Für mich sieht das eher so aus als ob treibgut alle möglichen Anwendungen im Hintergrund hat laufen lassen wärend dem scan. @treibgut Kannst du den Scan mit Rootkitrevealer noch mal wiederholen und währendessen kein anderes Programm laufen lassen. Grüße wildone |
@Wildone Das mit Apropos ist nur eine wage Vermutung. Der Backdoor, der die sysbus32 mitschleppt, taucht wohl auch häufiger mit Apropos zusammen auf. Ob man das ganze überhaupt noch retten kann, damit der TO vernünftig seine Daten sichern kann, ist ne andere Frage. |
Hallo, ja jetzt sehe ich die Datei: C:\WINDOWS\system32\drivers\sysbus32.sys auch, ob das etwas mit Apropos zu tun hat weiß ich nicht, kenne mich bei der Beseitigung von Rootkits nicht besonders gut aus, da ich da aus Prinzip zur Neuinstallation rate. Grüße Wildone |
Zitat:
|
Es koennte das sein. Ich habe es heute bekommen: C:\DOKUME~1\Ralf\LOKALE~1\Temp\Rar$DI01.906\sysbus32.sys Infected SpamTool.Win32.Mailbot.al Waere interessant zu erfahren was Blacklight findet. http://www.f-secure.com/blacklight/try.shtml |
@raman Könnte....aber ein Mailbot entzieht Dir normaler weise nicht die Adminrechte und versteckt alles vor der Windows API. Ich fürchte da ist mehr dabei. ...zudem ist das ein Backdoor, zumindest laut Sophos. |
Naja, eins nach dem anderen. Erst das beseitigen, was man findet!:) Blacklight koennte da nuetzlich sein. Das Rootkit scheint was zu verstecken, was mit "S" beginnt und sich in bestimmten Ordnern befindet. Dienste (wie die sysbus 32.sys) eignen isch sehr gut als start fuer ein Rootkit.... |
Zitat:
Zitat:
Zitat:
|
so da bin ich wieder Mein Benutzer ist "S" :) Datei is hochgeladen. Nur der Explorer lief im hintergrund. rootkitlog2.txt und ich verstehe nur noch Bahnhof, also bitte der reihe nach :crazy: Aso, noch was, was bedeutet TO ? |
OK, das hat gar nichts gebracht. Textdokument erstellen. Die folgenden Zeilen einfügen und als "del.bat" (mit Anführungszeichen) abspeichern. die Datei nach C:\ kopieren und von odrt aus in der recovery console ausführen. del /F /S /Q %TEMP%\*.* >> C:\delbat.log del /F /S /Q %TMP%\*.* >> C:\delbat.log del /F /S /Q %SystemRoot%\Temp\*.* >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temporary Internet Files\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temp\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Cookies\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Eigene Downloads\*.*" >> C:\delbat.log del /F /S /Q "C:\WINDOWS\system32\drivers\sysbus32.sys" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\*.*" >> C:\delbat.log Anschliessend den Inhalt der delbat.log posten. |
Du weisst schon, das das del /F /S /Q "C:\Dokumente und Einstellungen\S\*.*" >> C:\delbat.log den kompletten User loescht?? |
Oh Fuck! Stop treibgut. Mir ist da ein Fehler unterlaufen!!!!! So muss es heissen: del /F /S /Q %TEMP%\*.* >> C:\delbat.log del /F /S /Q %TMP%\*.* >> C:\delbat.log del /F /S /Q %SystemRoot%\Temp\*.* >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temporary Internet Files\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temp\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Cookies\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Eigene Downloads\*.*" >> C:\delbat.log del /F /S /Q "C:\WINDOWS\system32\drivers\sysbus32.sys" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Windows*.*" >> C:\delbat.log Wenn das schief geht kann ich aus dem Fenster springen... |
Nee, noch nicht schiefgegangen |
Heureka. Ich hatte mich schon nach den Kosten für ne Datenrettung erkundigt..... Also, die korrigierte Fassung (bitte diese nehmen, da die erste korrigierte Fassung einen Fehler enthält, der eine Löschung unwirksam macht - nicht gefährlich aber unnötig): del /F /S /Q %TEMP%\*.* >> C:\delbat.log del /F /S /Q %TMP%\*.* >> C:\delbat.log del /F /S /Q %SystemRoot%\Temp\*.* >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temporary Internet Files\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temp\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Cookies\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Eigene Downloads\*.*" >> C:\delbat.log del /F /S /Q "C:\WINDOWS\system32\drivers\sysbus32.sys" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Windows\*.*" >> C:\delbat.log Funktioniert das? |
Hmm muss mal nachfragen. Ich befinde mich in C:\Windows Kann mich aber mit CD\ nicht direkt auf C: bewegen. Ist das richtig ? muss ich die Datei aus C:\Windows starten ? |
copy C:\del.bat C:\Windows Dann kannst Du sie auch von C:\Windows aus starten. |
ok, mir gings nur darum, ob ich sie auch von C:\windows starten darf |
hmm, das haut irgendwie nicht hin. wenn ich del.bat eingebe, sagt er mir "Unbekannter Befehl" Hab aber die Datei kopiert, und auch kontrolliert, ob sie da ist Wenn ich nur del eingebe, will er natürlich Parameter haben Ich glaub ich bin langsam zu alt für diesen Quatsch:mad: |
Du könnest die Befehle natürlich auch einzeln eingeben, sowie sie dastehen. Allerdings in Anbetracht des Aufwands, der nötig ist um das System zu säubern multipliziert mit der Wahrscheilichkeit, dass das überhaupt funktioniert, wäre es vllt besser das System neuaufzusetzen. Du könntest einen letztenVersuch unternehmen, indem Du versuchst, die del.bat im abgesicherten Modus zu starten. |
huiii, es hat hingehauen. Ich kann die schnellstartleiste wieder uneingeschränkt nutzen Zur Sicherheit nochmal die delbat.log |
So jetzt bitte nochmal ein Rootkitrevelaer-Log und ein HJT-Log. Ich fürchte, so ganz ist der Patient nicht genesen. |
So, Rootkit sagt : no discrpancies found und hier hjt log Logfile of HijackThis v1.99.1 Scan saved at 22:28:06, on 12.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\S\Eigene Dateien\RootkitRevealer\RootkitRevealer.exe C:\DOKUME~1\S\LOKALE~1\Temp\RCQAFKAAUFI.exe C:\Dokumente und Einstellungen\S\Eigene Dateien\Eigene Downloads\HijackThis.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATULL - Unknown owner - C:\DOKUME~1\S\LOKALE~1\Temp\ATULL.exe (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe O23 - Service: RCQAFKAAUFI - Sysinternals - www.sysinternals.com - C:\DOKUME~1\S\LOKALE~1\Temp\RCQAFKAAUFI.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE |
Das HJT sieht ein büschen strange aus. Ne ernste Empfehlung wäre die Daten zu sichern und das System neuaufzusetzen. Du hattest nen Backdoortrojaner drauf und der hat einiges an Deinem System rumgefrickelt. Keiner weiss genau was er gemacht hat. Die Kiste läuft zwar wieder, aber man weiss nicht, ob und wenn ja, welche unsichtbaren Türchen geöffnet wurden. Zumindest ein Scan mit eScan wäre ratsam: http://www.trojaner-board.de/showthread.php?t=17492 Diese Datei C:\WINDOWS\system32\wscntfy.exe würde ich mal bei jotti prüfen lassen (auch wenn sie am richtigen Ort liegt). |
Alles klar, datei geprüft, is ok und das System werd ich wohl neu installieren. Jetzt kann ich ja wieder auf alles zugreifen und die Dateien sichern Vielen, vielen Dank an alle :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board