Admin Rechte in meinem Konto,wie?

Dieses Thema im Forum "Sicherheit" wurde erstellt von stiffler_2003, 30. April 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. stiffler_2003

    stiffler_2003 Byte

    Registriert seit:
    30. April 2006
    Beiträge:
    87
    Hallo zusammen,Ich hab Probleme mit verschiedenen Viren und Spywaresachen.Spybot und mein Virenscanner finden immer so 5 Punkte,die schädlich sind,Ich kann sie aber nicht löschen,da kommt immer ein Fenster,da steht drin:Anderung in der Registrierungsdatenbank verboten,dann bleibt der Virus immer.Ich hab dann mal im abgesicherten Modus als Admin angemeldet,dann kann Ich alles super löschen,aber wenn Ich wieder in meinem KOnto bin,hab Ich nach einem halben Tag diese Schädlinge weider da,Spybot und Co kann das ja nicht blockieren,weil das Programm das ja in meinem Konto nicht darf.Was kann und muß Ich umstellen,daß Ich da keine Probleme hab.
    Vielen Dank im Vorraus.
    MfG
     
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo stiffler_2003

    Da du Spybot Search & Destroy einsetzt, verwendest du bestimmt auch den TeaTimer, oder? Wenn dieser in der Taskleiste aktiv ist, dann klick mal mit der rechten Maustaste auf das Symbol und dann auf "Einstellungen", entferne dann aus der Liste "Blockierte Reg-Änderungen" alle Einträge. Danach sollte sich der Virus problemlos löschen lassen.

    Gruß
    Nevok
     
  4. stiffler_2003

    stiffler_2003 Byte

    Registriert seit:
    30. April 2006
    Beiträge:
    87
    Hallo,Danke für eure Antworten,Ich verwende auch den TeaTimer,aber Ich kann die 2 Dateien nicht löschen,Ich kann jedes einzeln anklicken,weder mit Entf noch mit rechter Maustaste die Sachen löschen.Wie muß Ich das machen?Würde mich nochmal über nen Tip freuen.Vielen Dank im Vorraus.
     
  5. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    du kannst mit den zwei folgenden kleinen Programmen Dateien zur "Bootzeit" löschen, bedeutet wenn Windows und somit der Virus noch nicht aktiv sind:

    Killbox:
    löschen von Dateien zur Bootzeit
    http://www.bleepingcomputer.com/files/killbox.php

    http://virus-protect.org/killbox.html

    HiJackThis Anleitung:
    http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

    Download u. Kurzanleitung:
    http://hjt.klaffke.de

    Bei HiJackThis ist das zu finden unter den "Misc Tools"

    Es fehlt immer noch der LINK zu deiner HiJackThis-Auswertung,
    ohne die ist eine Ferndiagnose schwierig / unmöglich !!
     
  6. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    @ stiffler_2003

    Du musst rechts auf das "x" klicken. Ich hab's dir im Anhang mal rot umrandet.

    Gruß
    Nevok
     
  7. stiffler_2003

    stiffler_2003 Byte

    Registriert seit:
    30. April 2006
    Beiträge:
    87
    Vielen Dank nochmal,Ich hab die beides Dateien jetzt gelöscht,bin ja mal gespannt,ob das ganze wiederkommt.Wenn es wieder da ist,beim nächten hochfahren,dann versuch Ich deinen Vorschlag,Wolfgang.
    Ich finde es echt super,daß man sich hier in diesem Forum absolt bemüht und man nicht dumm angemacht wird,wenn man nicht soviel Ahnung hat.Dickes Lob an alle.
    Ich poste,sobald Ich was weis.
    MfG
     
  8. stiffler_2003

    stiffler_2003 Byte

    Registriert seit:
    30. April 2006
    Beiträge:
    87
    Hallo zusammen,Ich hab mich zu früh gefreut.Fast 2 Tage war mein PC sauber,jetzt habe Ich wieder dasselbe Problem,dann aber noch eins dazu bekommen.Ich versteh das nicht,wie kann Ich eine verseuchte Datei bekommen,die meine Programme schon kennen,warum blocken sie die dann net,wenn Ich auf suche geh,werden sie gefunden und auch gelöscht.Ich habe XP und verwende Norton AntiVir und Spybot.Jetzt hab Ich noch was neues dazu bekommen,Ich habe DSL und gehe mit einer FritzBox ins netz,also einen Router.Wenn Ich den Internetexplorer starte macht sich eine DFÜ Verbindung auf und fragt,ob Ich mich mit dem Internet verbinen will,aber der Provider klingt spanisch und das kennport ist auch ganz wirr,Ich habe noch nie ne DFÜ Verbindung verwendet um ins Netz zu kommen.Wenn Ich einfach auf X gehe und schließe,dann kommt beim nächsten Internetklick ein kleines Fenster mit Verbinden,wenn Ich da drücke,verbindet er,sonst geht nix mehr.
    Was soll Ich machen,bin kurz davor,daß Ich meinen Pc neu installiere.
     
  9. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Vermutlich hat sich der Virus im Systemwiederherstellungsordner festgesetzt. Deaktiviere die Systemwiederherstellung und mach mal einen Virenscan mit NAV und anschließend mit Spybot. Entferne alle gefunden Viren, Trojaner etc. Starte anschließend das System neu und mach dann nochmal einen Virenscan mit NAV und Spybot. Wenn nix mehr gefunden wird, dann schalte die Systemwiederherstellung wieder ein.
     
  10. Ace Piet

    Ace Piet Computerversteher

    Registriert seit:
    7. September 2004
    Beiträge:
    3.325
    Eine Anwendung startet auf 2 Arten:
    1. *klick* bzw. *drück*
    2. automatisch

    Die Liste zum Thema 2-tens, falls man manuell suchen will. - Automatisch gehts mit Autoruns, jedenfalls besser als mit dem hauseigenen MSCONFIG.

    Übliche Verdächtige...
    HKCU\Software\Microsoft\Windows\ CurrentVersion\Run
    HKLM\Software\Microsoft\Windows\ CurrentVersion\Run
    ...
    Ich tippe auf einen Starter dort, der einen Zufallsnamen erzeugt.
    Du musst also zuerst den Starter killen und dann das Programm.

    Weiteres lustiges Zeug zum suchen von Mücken. --> ProzessExplorer.


    *hust* Alles aus dem Klick auf meiner Signatur (Abschnitt Autostart-Kontrolle).

    -Ace- (Werbewoche für Best-Ofs)
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    (OT)
    welch hoher Gast. Machst du nur Pause von der Pause, oder darf man sich an deine Anwesenheit gewöhnen?
    (/OT)
    Ich wäre ja dafür das du auch noch zusätzlich Wolfgang77s Rat befolgst:
    Denn das Programm macht ja nichts anderes, als das von Ace vorgeschlagene, nämlich die Autostarts, und die weiteren üblichen verdächtigen, protokolieren.

    Edit
    Welche Spybot Version verwendest du? 1.3?
    Kannst du mal die Dateinamen und den genauen Pfad der verdächtigen Dateien posten?


    Grüße Jasager
     
  12. stiffler_2003

    stiffler_2003 Byte

    Registriert seit:
    30. April 2006
    Beiträge:
    87
    Hallo,Ich habe jetzt das mit dem HiJack gemacht,habe den Link dann auch unten angegeben,Ich hoffe,das klappt dann.
    Habe heute mit Spybot nochmal gescannt,hab aber nichts reparieren lassen,nur daß Ihr mal seht,welche Namen das Proggi bei mir findet.
    -Advertising.com 1 Eintrag
    -Double Click 1 Eintrag
    -Hit Box 2 Einträge
    -Media Plaex 1 Eintrag
    -Smitfraud-C. 2 Einträge

    Wenn das dann alles auch nix bringt,dann versuche Ich mal den Vorschlag von Wolfgang,das kommt mir aber arg kompliziert vor,Ich hoff,Ich bring das dann auch zustande.

    Das mit dem Link hab Ich net so ganz gecheckt,sorry,Ich hab das jetzt einfach hier eingefügt.

    Logfile of HijackThis v1.99.1
    Scan saved at 19:02:46, on 09.05.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    Anleitung beachten! KEINE LOGS IM FORUM! Log entfernt - Rattiberta
     
  13. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Dann sehe ich schwarz für dich, wenn du das nicht verstanden hast dann kannst du auch keinen Virus entfernen.

    Hier ist die Auswertung deiner Log-Datei:
    http://www.hijackthis.de/logfiles/5706c4d49eae1db40ec3bb5aea98364c.html

    Wie du siehst ist die Maschine verseucht.
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    aber was das jetzt genau ist würde mich dann doch interessieren. Beende mal folgende Prozesse:
    IE4321.exe
    13892.exe

    und überprüfe die zugehörigen Dateien:
    C:\Dokumente und Einstellungen\Wolfi\Anwendungsdaten\sgrunt\IE4321.exe
    C:\DOKUME~1\Wolfi\LOKALE~1\Temp\13892.exe

    hier und poste das Ergebnis.

    Außerdem löschst du mal deine Temp Dateien mit Cleanup! und postest dann die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren!


    Grüße Jasager
     
  15. stiffler_2003

    stiffler_2003 Byte

    Registriert seit:
    30. April 2006
    Beiträge:
    87
    Hallo,sorry,daß Ich das net gecheckt hab mit dem Link,hab oben auf Link einfügen gedrückt und hab meine Logfile dann eingetragen,aber das könnt Ihr ja dann nicht aufmachen.Hättest es oben schnell mit 2 Sätzen erklärt,wie man das einfügt,hätte Ich das gewusst.
    Ich hab versucht,die Prozesse zu beenden,aber wo?ich habe den Taskmanager aufgemacht und bin auf Prozesse gegangen,hab aber die beides Files nicht gefunden,woanders weis Ich nicht,wo man Prozesse abbrechen kann.
    Aber Ich sehe schon,Ich komm da nicht weiter,Ich werde mich Hilfe holen müssen,oder einfach meinen Rechner neu installieren,was sicher auch das einfachste wäre.Kenn mich halt doch net so aus,sorry nochmal.
    Trotzdem danke für eure Bemühungen.
    MfG
     
  16. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    Grundlagen:
    Bundesamt für Sicherheit in der Informationstechnik
    http://www.bsi.de/av/HinweiseCV.htm

    Der Versuch der Virenentfernung ist immer im abgesicherten Modus
    und bei deaktivierter Systemwiederherstellung durchzuführen.

    Also.. Systemwiederherstellung nach Anleitung deaktivieren, im abgesicherten Modus booten und verdächtige Einträge mit "HiJackThis" fixen. Maschine neu booten und schauen ob erfolgreich oder Viren wieder aktiv.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen