Computerhilfen.de Logo
Forum
Tipps
News

Win XP: virus lechuck.a gehabt / gecleant.. aber keine rechte...

Hallo,
also ich hab nun folgendes problem....

ich hatte einen virus auf dem laptop....

er hieß

lechuck.a

so da gabs folgende features :)

im system32 ordner war
lechuck.exe
wins.exe
cc.dl
Spolis.exe
regedit.com
cmd.com

regedit war gesperrt
konnte keinen virusscanner mehr installieren... selbst die suche nach nem virus scanner wurde im internet explorer und Firefox geblockt.
jegliche *.bat , *.com, *.exe usw waren in der regedit gesperrt
Der Taskmanager hat sich deaktiviert, sämtliche Antiviren exe Dateien werden von ihm gelöscht oder beim Ausführen behindert.
festplattenlink über arbeitsplatz war nicht mehr ok..
daher ich war komprimiert..
ich kam ja nicht mehr in irgendeine exe oder com rein..
daher ich kam nicht ins regedit

so das hab ich eigentlich über folgende bat datei gelöst:

taskkill /F /T /IM lechuck.exe /IM wins.exe > nul

attrib -r -h -s %systemroot%\system32\lechuck.exe > nul
attrib -r -h -s %systemroot%\system32\wins.exe > nul
attrib -r -h -s %systemroot%\regedit.com > nul
attrib -r -h -s %systemroot%\system32\cmd.com > nul
attrib -r -h -s %systemroot%\system32\cc.dll > nul
attrib -r -h -s %systemroot%\Spolis.exe > nul
attrib -r -h -s %systemroot%\..\autorun.inf > nul


reg delete HKLM\software\classes\exefile\shell\open\command /ve /f > nul
reg delete HKLM\software\classes\batfile\shell\open\command /ve /f > nul
reg delete HKLM\software\classes\piffile\shell\open\command /ve /f > nul
reg delete HKLM\software\classes\comfile\shell\open\command /ve /f > nul


reg add HKLM\software\classes\exefile\shell\open\command /ve  /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\batfile\shell\open\command /ve  /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\piffile\shell\open\command /ve  /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\comfile\shell\open\command /ve  /f /t REG_SZ /d "\"%%1\" %%*" > nul

del %systemroot%\system32\lechuck.exe >> nul
del %systemroot%\system32\wins.exe >> nul
del %systemroot%\regedit.com > nul
del %systemroot%\system32\cmd.com > nul
del %systemroot%\system32\cc.dll > nul
del %systemroot%\Spolis.exe > nul
del %systemroot%\..\autorun.inf > nul

so virus war weg... aber nun hab ich den großen ärger...


es lässt sich keine exe öffnen... nix... keine systemsteuerung... ich kann höchstens ne exe öffnen wenn ich eine datei auswähle... öffne mit... und dann öffne mit der exe... maximal geht das...

ich hab keine rechte.. komm in nichts ausser computer verwaltung rein..

aber es sind ja alle bats coms exen gesperrt... das wird da sicher nicht drin stehen...


es lässt sich regedit nichtmal mit

Option Explicit

'Declare variables
Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers
Dim enab, disab, jobfunc, itemtype

Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"
p = p & "DisableRegistryTools"
itemtype = "REG_DWORD"
mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"
enab = "ENABLED"
disab = "DISABLED"
jobfunc = "Registry Editing Tools are now "

'This section tries to read the registry key value. If not present an
'error is generated.  Normal error return should be 0 if value is
'present
t = "Confirmation"
Err.Clear
On Error Resume Next
n = WSHShell.RegRead (p)
On Error Goto 0
errnum = Err.Number

if errnum <> 0 then
'Create the registry key value for DisableRegistryTools with value 0
   WSHShell.RegWrite p, 0, itemtype
End If

'If the key is present, or was created, it is toggled
'Confirmations can be disabled by commenting out
'the two MyBox lines below

If n = 0 Then
   n = 1
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
   n = 0
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
End If


aktivieren oder mit

Option Explicit
Dim frage
Dim WshShell
 
Set WshShell = WScript.CreateObject("Wscript.Shell")
frage = MsgBox ("Script ausführen?",36 , "DisableRegistryTools")

If frage = 6 Then 
On Error Resume Next
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\" _
& "Policies\System\DisableRegistryTools"

MsgBox "Sollte Regedit nach klicken auf ""OK"" nicht starten,"_
& " bitte das System rebooten!",64,"Starte Regedit"
WshShell.run "Regedit.exe"

Else
MsgBox "OK" ,64 , "!"
End If

öffnen


es hilft null.... ich brauch rechte..

es steht immer da zugriff verweigert.....


oder

wenn ich auf systemsterung gehen will kommt:

"Auf das angegebene Gerät bzw. Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können"



hijack kommt gleich



Antworten zu Win XP: virus lechuck.a gehabt / gecleant.. aber keine rechte...:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:29, on 15.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Firefox\App\firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\Kopie von HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Security Task Manager\TaskMan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - Default URLSearchHook is missing
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\system32\msconfig.exe /auto
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C320BA10-3891-4414-AF8C-7C350331AB92}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

--
End of file - 5196 bytes
 

Daten mit knoppix sichern und neuinstalieren,alles andere ist läse und zeitverschwendung.Die fehlenden rechte wist Du kaum wiederbekommen,Die gesicherten daten dann auf schädlinge untersuchen von sauberem medium.
Nach sicherung verseuchte platte low level formatieren,um alle schädlinge zu erwischen.Danach system neu aufsetzen und absichern.

Weshalb wurde mit adminrechten gearbeitet?Sonderlich schlau war dies nicht.In zukunft nur mit gastrechten surfen und als benutzer arbeiten.

danke für die antwort!

wie mit adminrechten? ich bin administrator.. soll ich mir extra wegen internet nen zweites profil machen?

es hies einfach nur zugriff verweigert.... also wenn ich ne reine exe öffnen wollte, zugriff verweigert..
wenn ich aber ein unbekanntes dateityp nehme und öffnen mit auswähle und dann meine exe die ich starten wollte, dann kann ich die exe öffnen...

 

*seuftz*
Offensichtlich gehörst du zu den menschen,die generell geil auf arbeit sind,besonders wöchentlich das OS neu zu instalieren.Der Jeder nutzer des rechners in der gruppe der adminstratoren hat Adminrechte,ein admin kann dem anderen bestimmte rechte versagen.
Informiere Dich bitte über rechtevergabe auf NT basierenden systemen.Zum Surfen extra account,ob es Di genehm ist oder nicht.Die alternative ist,wöchentlich system neuinstalieren oder vom backup einspielen,bestimmt geil und in 1 min fertig.

blub blub... ich hatte eigentlich nie probleme damit... warum sollte ich mein "system" ändern wernn ich damit nie probleme hatte..

was besseres kannst du mir auch net sagen?

hat deiner keiner eine idee was vll kaputt ist?
die entscheidenten schlüssel ala
reg add HKLM\software\classes\exefile\shell\open\command /ve  /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\batfile\shell\open\command /ve  /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\piffile\shell\open\command /ve  /f /t REG_SZ /d "\"%%1\" %%*" > nul
reg add HKLM\software\classes\comfile\shell\open\command /ve  /f /t REG_SZ /d "\"%%1\" %%*" > nul

sind ja eigentlich wieder repariert.. daher denke ich das der zugriff aus der hinsicht gegeben ist...

aber welcher fehler macht dann dieses ständige zugriff verweigert aus ???

schließlich lassen sich ja *.exe öffnen

zb ne Firefox nur wenn ich eine entsprechende html öffnem daher nicht direkt ne exe...
oder wenn ich ein file über öffnen mit, mit einer exe öffne... was nicht direkt die *.exe direkt startet...

es gibt nur ein account.. und der bin ich... also was soll dieses admin gerede... du sprichst da echt in rätseln... und kosntruktiv war deine antwort auch nicht..
der fehler liegt garantiert wo anders! fehlende zuordnung sicher irgendwo... die gruppenrichtlinie hab ich vom desktop system kopiert an der liegt es nicht... da beide system die gleiche nLite OS version drauf haben... und daher die gleichen einstellungen
 

hallo,

Zitat
also was soll dieses admin gerede... du sprichst da echt in rätseln
Administrator rechte sind damit gemeint.

ps: dein sytem ist veraltet sprich dir fehlt SP3.

mfg Zidane 

« Automatische Updates für immer ausblenden*.exe Dateien anklicken --> Sprung zurück auf Desktop »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!