![]() |
@ Kaos & Voo.Doo schaut mal den profis noch ein bisserl bei der schädlingsbekämpfung über die schultern bevor ihr hier aktiv mithelft http://www.trojaner-board.de/69603-f...dem-forum.html danke GUA |
Ähmmm was heißt das jetzt für mich ??? Wäre über Hilfe wirklich dankbar!!! Grüße Fabian |
Zitat:
Marc |
Ok alles runtergeladen! Auch schon alles installieren ? Nur in die Wiederherstellungskonsole komm ich leider nicht. Irgendeine Fehlermeldung bezüglich Viren ober Festplattencontroler! Das is wohl nich so gut hm!?! Fabian |
Zitat:
[1]Von Gmer beanstandete Diensteinträge Prüfen auf Berechtigungseischränkung in den Dienstschlüsseln (alleiniges Zugriffsrecht für User SYSTEM): Start > Ausführen > cmd (mit Enter bestätigen) Die untenstehende Zeile reinkopieren (mit rechter Mausklick > Einfügen) und mit ENTER bestätigen. Code: reg query HKLM\System\CurrentControlSet\Services | findstr "denied" Beispiel: Code: Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr Installiere bitte MBAM und im Anschluss das aktuellste Offline-Update das Du in die Finger bekommen kannst. Erstmal noch nicht scannen. Marc |
Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv.sys> Error: Access is denied in the key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ybdrbp |
Zitat:
Berechtigungen der Dienstschlüssel ändern Wir ändern nun die Berechtigungen der Diensteinträge damit der Benutzer SYSTEM nicht mehr auf diese beiden Einträge zugreifen kann. Ist das erfolgreich, werden die Dienste nicht mehr gestartet und wir können mit MBAM über das System schauen.
Sollte das nicht funktionieren, gehen wir direkt mit MBAM dran. Marc |
Ok, im regeditor gab es CurrentControlSet 001 und 003 und einfach CurrentControlSet ich habe es bei allen dreien so gemacht wie beschrieben. Es war nur gar kein Benutzer vorhanden also habe ich den Benutzer SYSTEM hinzugefügt und die Einstellungen dann für diesesn verändert. Soweit richtig? Habe neu gestartet und alles so geblieben! Konnte insgesamt zwei Hacken bei Verweigern setzten, bei spezielle Berechtigungen ging es jedoch nicht. |
Es irritiert mich doch gehörig, dass da kein Benutzer drinnenstand. Egal, schauen wir, ob die Arbeit vllt doppelt gemacht werden muss. Scannen mit MBAM Starte MBAM und lasse einen Scan über alle Partitionen laufen (Option: vollständiger Scan). Berichte welche Funde MBAM Dir am Ende des Scans anzeigt. Marc |
Hmm MBam hat gar nichts gefunden Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1793 Windows 5.1.2600 Service Pack 2 25.02.2009 16:40:09 mbam-log-2009-02-25 (16-40-09).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 253725 Laufzeit: 1 hour(s), 36 minute(s), 14 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Komisch oder? |
Zitat:
Wir testen einfach, ob Conficker noch aktiv ist: Schlüsselberechtigungen neusetzen Du gibst für die beiden Schlüssel in der Registrierungsdatenbank Deinem Benutzer Vollzugriffsrechte und löscht beide Schlüssel (am besten auch in ControlSet02 und ControlSet03). Es gibt nun drei mögliche Szenarien:
So setzt Du die Berechtigungen für die Schlüssel:
Schlüssel löschen
Falls eine fehlende DLL bemängelt wird, notiere Dir unbedingt den Namen. Marc |
Die Schlüssel lassen sich leider nicht löschen, es kommt folgende Fehlermeldung: xy kann nicht gelöscht werden: Fehler beim löschen des Schlüsses |
Zitat:
http://img142.imageshack.us/img142/2...rechtigung.jpg Marc PS: Sollten beide Schafsköppe noch aktiv sein, werde ich an dieser Stelle aufhören. Es ist sowieso schon gegen meine Überzeugung an rootkitverseuchten Kisten rumzudoktern, aber ohne Wiederherstellungskonsole geh ich nicht noch weiter. |
Ja ich als admin angemeldet und ja ich habe vollzugriff etc ausgewählt. Hmm schade hatte echt noch Hoffnung. Un wenn man die Schlüssel mit einem Dateikill Programm löscht ??? Oder geht das gar nicht, war nur so ne Idee? |
Zitat:
Such Dir die SATA-Treiber für Deine Platte, integriere sie in die Windows XP Installations-CD und setz neu auf. Selbst wenn Du die zwei Probanden soweit bekämpfst, dass Du sie nicht mehr nachweisen kannst, kannst Du Dir nicht sicher sein, dass sie auch wirklich weg sind oder wie ein c't-Redakteur mal sinngemäß schrieb: Man darf nur nicht auf die Idee kommen, die Abwesenheit von Anomalien als Beweis für die Sauberkeit eines Systems heranzuziehen. Marc |
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board