Merkwürdiger Virus

  • geschlossen

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Merkwürdiger Virus

    Ich habe seit heute ein Problem mit einem Virus ! Es sind auf einmal 2 Benutzer da, obwohl hier nur ursprünglich einer eingerichtet war. Der Taskmanager erscheint nicht mehr ("Der Taskmanager wurde durch den administrator deaktiviert") erscheint, der Punkt "Ausführen" ist nicht mehr im Startmenü und das Bearbeiten der Registrierung wurde auch durch den Administrator deaktiviert. Norton Internet Security ist zerstört und lässt sich nicht mehr deinstallieren ! Kann mir mal jemand helfen ?
  • Ich glaube da hat jemand Deinen PC gehackt.
    Starte den Rechner neu im Abgesicherten Modus.Beim Neustart des Rechners immer wieder F8 drücken bis Du im Abgesicherten Modus kommst.Steck vorher die Internetverbindung aus.Dann führst Du einen scan mit e scan aus.

    Hier kannst Du es Downloaden.MicroWorld Free AntiVirus Toolkit Utility (MWAV)

    Dann lass das Prog durchlaufen.Danach Installierst Du Dein Norton nochmal über die alte Version.Also im normalen Windows Betrieb.
    Danach kannst Du es auch wieder Deinstallieren.

    Dann würde ich vorschlagen mit Hijackthis Deinen Rechner zu scannen und das Logfile auswerten zu lassen.Hier kannst Du es Downloaden und auch Dein Logfile auswerten lassen.
    HijackThis Log file

    Greetz Firecat
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]
  • Firecat schrieb:

    Ich glaube da hat jemand Deinen PC gehackt.


    Jeah! Da hat offensichtlich jemand Adminrechte auf PRS24s Dödel erhalten...

    Firecat schrieb:

    Starte den Rechner neu im Abgesicherten Modus.Beim Neustart des Rechners immer wieder F8 drücken bis Du im Abgesicherten Modus kommst.Steck vorher die Internetverbindung aus.Dann führst Du einen scan mit e scan aus.


    Ich würde da eher zu Knoppicillin raten. Da nun auch sonstiges Gewürm auf seinen Datendödel herumlümmeln kann. Wichtig wäre es herauszukriegen, wie PRS24s Dödel konkret übernommen wurde und dies umgehend fixen. Erst danach würde ich ernsthaft über eine komplette Neuinstallation nachdenken, immerhin ist sein System kompromittiert worden. Und meine Paßwörter würde ich BTW auch alle wechseln...

    HTH + CU
    In Blythe, California, a city ordinance declares that a person must own at least two cows before he can wear cowboy boots in public.

  • Daran war / ist ein Virus Schuld
    . Zuerst sollte ein gründlicher Virencheck durchgeführt werden. (Abgesicherter Modus)

    Neue Benutzer unter Verwaltung löschen.
    Verwaltung - Computerverwaltung - Lokale Benutzer und Gruppen - Benutzer.


    Danach sollte in der Registry (Start - Ausführen - regedit) unter
    HKEY_CLASSES_ROOT\ exefile\ shell\ open command der Wert C:\Windows\system32\crrscr32.exe "%1" %* bzw. C:\Windows\system32\servlet32.exe "%1" %* kontrolliert bzw. geändert werden in
    (Standard) REG_SZ "%1" %*

    oder du nimmst die Datei die es wieder korrigiert
    //edit: keine direkten download links!!! Rules lesen!!!
    mfg...
    Imperator


    danach Neustart ausführen.

    Jetzt kann der Taskmanger wieder aktiviert werden, wie hier im Tipp beschrieben: WinTotal - Tipparchiv: Taskmanager sperren/entsperren


    XP Professional
    Du kannst auch so machen: Start - ausführen -> gpedit.msc eingeben.
    Auf Benutzerkonfiguration gehen und System aufmachen und darunter gibt es STRG-ALT-ENTF Option......
    auf der rechten seite stet "TASK MANAGER ENTFERNEN"
    hier jetzt doppelklick mit Maus und dort sollte der Punkt "Nicht konfiguriert" ausgewählt werden.

    Zack und schon hast du wieder die Rechte.
  • Ich habe es so wie von firecat beschrieben gemacht ! einen rechner konnte ich so säubern, auf dem anderen ist xp professional drauf, darum werde ich mich morgen kümmern ! jedenfalls vielen dank für eure hilfe !


    prs24

    jetzt wieder ----------->>>>> :D :D :D :D :D
  • Liberty Valance schrieb:

    Wichtig wäre es herauszukriegen, wie PRS24s Dödel konkret übernommen wurde und dies umgehend fixen. Und meine Paßwörter würde ich BTW auch alle wechseln...

    HTH + CU


    Das ist auf jedenfall sowiso anzuraten,das Du einen gründlichen Check Deiner Ports durchfürst.
    Hast Du einen Router mit Firewall?Welche Ports sind denn offen?
    Hier zum beispiel kannst Du Deine Ports testen,ob welche offen sind.
    www.port-scan.de - Testen Sie Ihr System bevor andere es tun.

    So sollte es aussehen.



    Dann wie schon oben gesagt nimm Hijackthis und werte Dein Logfile aus.Die Einträge die verdächtig und gefährlich sind,dann auch fixen nicht vergessen.
    Du kannst auch Dein Logfile von Hijackthis mal hier Posten.Dann können wir Dir auch weiterhelfen.

    Greetz Firecat
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]
  • Ich glaube, dass ich was "falsches" installiert habe, da auch ein Rechner mit dem selben Zeug infiziert wurde, dieser aber nicht mit dem Internet verbunden ist. Der Virus wurde per USB Stick übertragen. Von daher glaube ich nicht an eine "feindliche Übernahme" !

    Wenn ich den Erfinder dieses Virus finde mache ich :flag: mit ihm ! Vorher aber :löl: !!!!!

    PS: Habe gerade einen Port-Scan gemacht, wie oben vorgeschlagen. Alle Ports sind sicher !

    Problem erledigt ! Kann geschlossen werden !

    //edit: Schon mal was von Post editieren gehört? :mad:
    mfg...
    Imperator