Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Nach Trojaner-Beseitigung streiken wichtige Netwzwerk-Dienste (Fehler 5) (https://www.trojaner-board.de/56907-trojaner-beseitigung-streiken-wichtige-netwzwerk-dienste-fehler-5-a.html)

KrezzyKid 28.07.2008 22:58
Nach Trojaner-Beseitigung streiken wichtige Netwzwerk-Dienste (Fehler 5)
 
So - nach 2 Stunden google-Recherche, die mir nur "Systemwiederherstellung" (ja ach nee...) empfahl, hoffe ich, hier Hilfe zu finden.

Also: ich hab mir irgendwo n bösen Trojaner eingefangen und ihn mit Hilfe von Ad-Aware entfernen können.

Leider versagen seitdem wichtige Dienste wie DHCP-Client, Netzwerklisten oder Basisfiltermodul. Das sind aber leider wichtige Abhängigkeitsdienste, ohne die ich nicht wirklich gut arbeiten kann.

Ich nutze an diesem Rechner Vista Home Premium

Obwohl ich hier unter Vista jedes Mal beim Starten von services.msc als Admin die Ausführung bestätigen muss, sagt er mir beim Starten eben jener Dienste "Fehler 5: Zugriff verweigert"

Na toll! Ich vermute schon fast, dass irgendwelche Zugriffsrechte in der Registrierung falsch zugeordnet sind oder der "NETZWERKDIENST"-Benutzer nicht an den entsprechenden Stellen genügend Zugriff hat. Leider kann ich nicht einfach Rechte vererben. "...konnte in einigen unterschlüsseln nicht gesetzt werden"

ich bin am ende mit meinem Latein

irgendwelche Ideen?

ach ja: hier mein Log, falls da irgendwas nützliches steht, das ich übersehen habe

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:51, on 28.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\SmartPCTools\Registry Repair Wizard\RCHelper.exe
C:\Windows\System32\wsqmcons.exe
C:\Program Files\Opera\opera.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\HijackThis.exe
C:\Windows\system32\mmc.exe
C:\Windows\system32\cmd.exe
C:\Windows\regedit.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - HKCU\..\Run: [Registry Repair Wizard Scheduler] "C:\Program Files\SmartPCTools\Registry Repair Wizard\RCHelper.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0DACA61-45DF-496A-93A2-362873DBB8BA}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)

--
End of file - 5684 bytes
bin für Ideen sehr dankbar


ach ja: in welches Unterforum gehört das eigentlich?

KrezzyKid 29.07.2008 00:06
Nachtrag:

Vielleicht näher ich mich langsam aber sicher dem Problem:

Habe mit subinacl herumexperimentiert, sämtliche Berechtigungen von Administratoren, System und Netzwerdienst auf voll gesetzt und siehe da:
wenigstens der NLA-Dienst tut wieder. Das ist leider nicht alles was ich brauche. Mühsam ernährt sich das Eichhörnchen.

Was mich stutzig gemacht hat: beim Setzen der Berechtigungen mit

Code:
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f

subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=system=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=NETZWERKDIENST=f
dabei hat er am Schluss immer noch als last error eine Rechtevergabe bei HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time mit dem Fehler 5: Zugriff verweigert anzeigt. Dementsprechend funktionieren alle anderen Dienste immer noch nicht. Ich führe jene Befehle extra im abgesicherten Modus als Administrator aus - eigentlich müsste ich doch ALLE Rechte haben ALLES so zu ändern wie ich es möchte, oder?

KrezzyKid 29.07.2008 08:02
Folgende Dienste versagen verweigern Zugriff:

Basisfiltermodul
DHCP-Client
Diagnoserichtlinie
IKE- und AuthIP IPsec-Schlüsselerstellungsmodule*
IPsec-Richtlinien-Agent*
Windows-Firewall*
Windows-Zeitgeber

*mangels Abhänigigkeitsdiensten

Administrator, Administratoren, System und NETZWERKDIENST haben Vollzugriff auf ALLES (auch auf Tiernahrung!)

Wie kann er mir den Zugriff verweigern? Was hab ich übersehen?

KrezzyKid 29.07.2008 09:21
Okay - Mühsam ernährt sich das Eichhörnchen

Mir ist aufgefallen, dass die Dienste nicht vom Netzwerkdienst, sondern von "Lokaler Dienst" ausgeführt werden. Dementsprechend hab ich die Prozedur so umgebaut, dass

Administrator
Administratoren
System
Netzwerkdienst
Lokaler Dienst

ALLE haben jetzt Vollzugriff

und siehe da - DHCP-Client und Windows Zeitgeber laufen wieder

aber Basisfiltermodul (BFE) streikt immer noch


*seufz*


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:14 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129