HILFE: Trojaner hat Administrator-Rechte

Dieses Thema im Forum "Sicherheit" wurde erstellt von Teuschel, 29. September 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Teuschel

    Teuschel ROM

    Registriert seit:
    29. September 2005
    Beiträge:
    3
    Hallo!
    Habe mir über eine infizierte mail einen Trojaner eingefangen. Ergebnis: Es erscheint nur noch das desktop-Bild und keine Dateien mehr, auch kein Start-Button. Im geschützten Modus habe ich zwar Zugriffsrechte, aber auch da nur der leere Bildschirm. Was soll ich tun? Im geschützten Modus erscheint ein "Administrator", wohl der Trojaner
    Bitte um Hilfe!!!
     
  2. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Offline von einer Boot-CD (BartPe oder PCWLin mit Virenscanner) booten und Virus beseitigen.
     
  3. Teuschel

    Teuschel ROM

    Registriert seit:
    29. September 2005
    Beiträge:
    3
    Danke für die rasche Antwort!
    Nur wo bekomme ich eine Boot-CD her,habe keine erstellt ...
     
  4. ohmsl

    ohmsl Viertel Gigabyte

    Registriert seit:
    17. Februar 2005
    Beiträge:
    3.050
    Das im abgesicherten Modus noch ein Admin Konto erscheint ist in Ordnung. Ist vom System sozusagen ein "Notfalladmin". Du kannst versuchen dich da anzumelden und dein Virenproggi zu starten. Besser wäre jedoch ein Scan von einer bootbaren CD, wie franzkat empfohlen hat.
     
  5. Teuschel

    Teuschel ROM

    Registriert seit:
    29. September 2005
    Beiträge:
    3
    Hi!
    Ich kann mich im abgesicherten Modus zwar anmelden, aber dann kommt nur der leere Bildschirm, ich habe also keinen Zugriff auf meine Dateien.
    Wie komme ich denn zu einer Boot-CD mit Virenscanner?
     
  6. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Teuschel

    Bist du rein zufällig im Besitz einer Notfall-CD von PC-Welt? Diese ist bootbar und enthält auch ein Anti-Viren-Programm.

    Das PC-Welt Heft 02/2005 enthielt eine solche Notfall-CD. Hier kannst du das Heft ordern:

    http://pcwelt.websale.net/

    Gruß
    Nevok
     
  7. Pork

    Pork Byte

    Registriert seit:
    28. September 2005
    Beiträge:
    15
    Die Windows-CD ist auch bootbar, Du könntest dann versuchen, über die MMC zu arbeiten.
     
  8. NickNack

    NickNack Megabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    1.667
    > Du könntest dann versuchen, über die MMC zu arbeiten.

    Erzähl doch mal: Wie geht das?
     
  9. Pork

    Pork Byte

    Registriert seit:
    28. September 2005
    Beiträge:
    15
    Ah, sorry, MMC war Schwachsinn, ich meinte die Wiederherstellungskonsole.

    Ich würde so vorgehen: Wenn der Trojaner als Dienst gestartet wird, würde ich mir mit listsvc die vorhandenen Dienste auflisten lassen und anschließend mit disable deaktivieren.

    Funktionierende Registrierungsdateien befinden sich im Ordner repair (\system, \software, \sam, \security, default) des Windows-Verzeichnisses. Diese können dann in das system32\config Verzeichnis mittels copy kopiert werden.


    Das Problem damit ist folgendes: Da die aktuellen Registrierungsdateien damit überschrieben werden, entspricht der Zustand der Registrierung nach erfolgreichem Abschluß möglicherweise nicht mehr der aktuellen Situation.

    Deswegen sind die anderen Lösungen vermutlich besser, je länger ich darüber nachdenke. Äh... ja... :o :wegmuss:
     
  10. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Nicht möglichwerweise, sondern mit Sicherheit.Das, was im Repair-Ordner ist, entspricht der Situation nach der Erstinstallation.D.h., alle später installierten Programme sind dann nicht mehr in der Registry enthalten (da kann man dann meistens gleich neu installieren).

    Sinnvoller ist es, eine relativ aktuelle Sicherung einer Registry-Datei aus dem System-Volume-Ordner zu benutzen (wenn es sich um XP handelt), wenn man die Systemwiederherstellung aktiviert hat.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen