Trojaner-Board - Admin Rechte weg

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Admin Rechte weg (https://www.trojaner-board.de/17042-admin-rechte-weg.html)

Admin Rechte weg

Hallo, ich hab ein Trojaner, der die Windows-rechte ändert...habs erst gesehen, als ich spielen wollte:

http://americas-army.4players.de/For...id=554563&sid=

Ich hab ihn mit Tea-Timer von Spybot geblockt, kann aber immer noch nich spielen, da die Recte immernoch geändert sind (obwohl ich unter Systemsteuerung als Admin da stehe)...

Der Virus hatten einen Prozessnamen von asdfsawd.exe (oda so ähnlich)..und wenn man ihn beendet hatte, gab es gleich einen neune mit noch so einem komischen namen (z.B.: yyyzu.exe)....

Kann mir jemand helfen ??

Thx

@Fishbone
editiere dein link, es reicht wenn du diese problemen hast

poste ein HJTlogfile
download
anleitung
chaosman

Zitat:

Zitat von chaosman

@Fishbone
editiere dein link, es reicht wenn du diese problemen hast

poste ein HJTlogfile
download
anleitung
chaosman

Zu spät!
LG, Charlie, na dann schaun wir mal

Also, nur der Link verursacht bei mir erst mal gar nichts. :(

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 16:40:47, on 25.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\system32\svhost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\Winamp.exe
C:\Dokumente und Einstellungen\Fishbone\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kwick.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16795a41...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1111044129424
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\mv4ql9h51.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Blink2PnP - Unknown owner - C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Wie gesagt hab den Prozess geblockt....aber bin halt irgendwie nich mehr Admin...

EDIT: Grad eben hat mein Pc einfach so mal neu gestartet :kloppen:

Zitat:

C:\WINDOWS\System32\svhost.exe

Online bei http://virusscan.jotti.org/de überprüfen und das Ergebnis posten.
Prozess vorher beenden.

btw: Was soll an dem Link schlimm sein, er führt auf eine seriöse Seite....

ogfile of HijackThis v1.99.1
Scan saved at 21:12:19, on 25.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe

@charlie
Wenn du ein Problem hast, solltest du einen neuen Thread eröffnen :p
Nein, im Ernst, es wird wirklich unübersichtlich...

Dialogstörung nicht erwünscht ;)

Haui, ich habe kein Problem, noch nicht, müsste man eigentlich auch sehen!
Weswegen, sollte ich da ein neues Thema eröffnen?
Das ist doch zum Thema!
Habe die Seite geprüft, ob sie präpariert wurde, ist sie aber meines Wissens nicht, gut ich kann nicht alles sehen, deswegen habe ich, nach anklicken der Seite ein HJT gepostet, denn es kann ja sein, dass da wer doch noch was findet, denn ich bin nicht der Papst!
Charlie

Wie ich schon geschrieben habe: "Es handelt sich um eine seriöse Seite"
http://www.4players.de/ sollte allgemein bekannt sein. Die Seite http://americas-army.de gehört eben dazu.

Zitat:

Zitat von charlie1

denn ich bin nicht der Papst!

Wirklich nicht :crazy: :kloppen:

Und wem haben wir nun das ganze Desaster zu verdanken, ich dachte schon ich habe einen Fisch, man, man, wieder nichts!
Halt nur Chaos!
Nun aber ganz schnell weg.
Ganz liebe Grüße, Charlie
:heilig: :confused: :teufel3: :blabla: :lach: