the-dog
Goto Top

Verlust aller Adminrechte nach Virusatake oder ähnliches

Vor ein paar tagen hat sich über mein Antivirupdate ein Virus(weis auch nicht genau was des ist) in meinen Rechner eingeschlichen und instalier. Er enzog mir auf allen Jusern sämmtliche Rechte irgend eine systemeinstellung vorzunehmen, desweiteren legte (und tut es immernoch) mein antivir meine nvidia firewall lam und brachte mir inerhalb von ein paar Stunden zig Viren und Trojaner auf meinen Rechner.
Der Virus(vermut ich mal) ist von meiem rechner inzwischen entfernt jedoch find ich immernoch spuren.

Pocket Killbox version
Running on Windows XP as Computer(Administrator)
was started @ Mittwoch, September 26, 2007, 6:15 PM

Killbox Closed(Exit) @ 6:17:57 PM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on Windows XP as Computer(Administrator)
was started @ Donnerstag, September 27, 2007, 12:02 AM

Was habe ich bis jetzt getan um den angerichteten schaden zu reparieren:
1) neue Virenprogram gezogen (AVG7.5,Avast)
2) neuen Schutz gegen Trojaner Rootkits und ähnliches geholt
3) einen systemwiederherstellugszeitpunkt gesucht über die ordner und gestartet, jedoch ging es nicht.
4)manuell versucht den benutzerkontenordner zu suchen
5)versucht über Linux/Knoppix die adminrechte neu zu vergeben


und nun bin ich mit meinem Latein am Ende, und würd mich Tierisch freuen wenn mir jemand weiterhelfen kann!!!

Thx im voraus Andi

ps: ich hab leider kein Image meiner Festplatte sonnst hätte ich es nun verwendet

hab jetzt nochmal mich informiert über des ding und laut chip.de ist das volgendes.

Pocket KillBox löscht auch Dateien, die sich normalerweise nicht entfernen lassen. Wählen Sie die gewünschten Dateien aus und das Tool erledigt die Arbeit beim nächsten Neustart von Windows

Content-ID: 69701

Url: https://administrator.de/contentid/69701

Ausgedruckt am: 23.11.2024 um 09:11 Uhr

coxsrcrub
coxsrcrub 27.09.2007 um 20:16:06 Uhr
Goto Top
Geht es um eine Rettung der Daten oder um eine Systemwiederherstellung.

Letzteres dürfte in den Fall schwierig werden.

--- Ich würde es nach solch massiven Virenbefall nicht mehr tun ---

Zur Rettung der Daten schlage ich vor die HDD in ein anderes System einzubinden.

Dann Virenscanner etc pp rüber laufen lassen und von dem alten System die Rechte übernehmen.
Wenn möglich noch einen zweiten Virenscanner im Anschluss benutzen. Aber keine zwei gleichzeitig aktiv haben!

Sofern nicht schon zuviel zerstört wurde klappt das relativ problemlos auch bei ntfs Berechtigungen. Geht leider nicht mehr wenn schon die Systemrechte entfernt wurden.

Ansonsten trifft dies zu : Windows --- what i see it's my

Danach sämtliche Daten runter von der Platte und alte HDD komplett platt machen. Am besten mit 00000 usw überschreiben oder noch besser mit dem Herstellertool der HDD, die Platte in den Urzustand zurückversetzen.

Gruß Jörg
The-DOG
The-DOG 27.09.2007 um 20:21:38 Uhr
Goto Top
also ich hab nochmals gesucht und laut chip.de ist es sogar ein programm gegen vieren.

text von dennen zu killbox

Pocket KillBox löscht auch Dateien, die sich normalerweise nicht entfernen lassen. Wählen Sie die gewünschten Dateien aus und das Tool erledigt die Arbeit beim nächsten Neustart von Windows
coxsrcrub
coxsrcrub 27.09.2007 um 20:31:25 Uhr
Goto Top
weißt du den wie die ganzen Viren heißen? Wenn nein wie oben beschrieben!

weißt du wo die Dateien der verschiedenen Viren liegen? Wenn nein wie oben beschrieben!

Das Programm mag dir helfen wenn du deine Gegenspieler kennst, es ist aber schwer diese zu identifizieren, da du derzeit keine Rechte mehr hast! ......Ich rate dir das Risiko nicht einzugehen.

Sollten Viren dabei sein die sich selbst replizieren (so hört es sich an) wirst du es extrem schwer haben alle Viren unschädlich zu machen.

Viel Erfolg oder besser viel Glück
Jörg
The-DOG
The-DOG 27.09.2007 um 20:56:47 Uhr
Goto Top
nein des program ist ja der übeltäter wo mir die adminrechte entzogen hat!!!
des .... prgramm killbox ist voll der sch... . soll gegen vieren helfen atakiert eien aber selber!!!

ich muss des programm loswerden um jeden preis
coxsrcrub
coxsrcrub 27.09.2007 um 21:00:11 Uhr
Goto Top
Also hast du das Programm selbst ausgeführt und anscheinend Dateien gelöscht die für die Systemverwaltung nötig waren. Sehe ich das richtig?
The-DOG
The-DOG 27.09.2007 um 21:06:10 Uhr
Goto Top
Nein ich hab weder des programm instaliert noch verwendet!!!
Nein des ist so das es bei jdem Hochfahren automatisch die Adminrechte übernimmt und alles andere blockiert.
Und des Drecksprogram ist Deistaliert, aber irgendwo leuft des ding immernoch!!!
coxsrcrub
coxsrcrub 27.09.2007 um 21:12:05 Uhr
Goto Top
Wer war es den dann? Ist vielleicht doch zufor ein Virus aufgetreten der diese kleine nette Tools mit bestimmten parametern missbraucht?

Hast du schon mal den Rechner im abgesicherten Modus gestartet und versucht dich einzuloggen?
Dabei sollte jedenfalls nicht das pog. gestartet werden.

Während den booten f8 usw .....

console - msconfig - Programme im Systemstart - dort nach der entsprechenden exe suchen und den hacken herausnehmen.
The-DOG
The-DOG 27.09.2007 um 21:35:16 Uhr
Goto Top
du meinst über cmd oder wie???
coxsrcrub
coxsrcrub 27.09.2007 um 21:40:20 Uhr
Goto Top
Rechner rebooten

f8

Rechner im abgesicherten modus starten

anmelden

start - eingabeaufforderung - msconfig [enter]

dort im rechten Reiter (Programme im Systemstart) nach der entsprechenden exe datei suchen und den Hacken herausnehmen.

neustarten
The-DOG
The-DOG 27.09.2007 um 21:54:22 Uhr
Goto Top
ok thx versuhs hab geschaut beim abgesicherten modus bei allen dreien, nur beim abgesicherten modus mit eingabeaufforderung hab ich einen administrator
coxsrcrub
coxsrcrub 27.09.2007 um 22:14:01 Uhr
Goto Top
gibt es keinen anderen user mit adminrechten?

Was sagt er den wenn du versuchst dich als Administrator anzumelden?

sofern du keine OEM version von XP hast kannst du ja noch die Unterflurinstallationen von xp versuchen.

Gugst du hier
The-DOG
The-DOG 27.09.2007 um 22:29:24 Uhr
Goto Top
also ich hab alle häckchen raus geht dennoch nicht!!!

meine 2 accs waren admin und die sinds beide los der gleift aufn hauptadmin zu den kann ich aber im abgesicherten modus noch steuern.
Equinox
Equinox 28.09.2007 um 08:05:46 Uhr
Goto Top
Hallo,

wie ist das Programm denn nun überhaupt auf deinen Rechner gekommen?

Eigentlich eine schlaue Idee ein solches Hilfstool als Angriff zu verwenden...
Also ich trau keinen System mehr wo ein Schadensprogramm drauf ist, das
1. nicht zu 100% weg ist
2. nicht geklärt ist woher es genau kam
Da bringt dir auch nichts wenn du 10 AV und 5 FW nacher raufspielst. Man kann das System immer so verändern das keines der Programma anschlägt.

Sicherheit wäre da eher von einem Externen Rechner das mit einer LiveCD Bootet, Scannen.

Da du nicht weißt welche Programme schon verändert wurden, ob die AV und FW noch clean sind, ob Ports offen sind, ob du schon Vieren drauf hast bzw. wo das Programm sich überall hingeschrieben hat....
Sicher dir deine Daten (Bilder, Filme, ..etc ) auf DVD, formatier die HDD, Prüfe die gesicherten Daten auf einen Sicheren Sauberen System... und mach die ganze Sache neu.
Programme würd ich mir neu besorgen ( die du gedownloadet hast ).

Sonst kannst du nie sicher sein das dein Rechner noch dir gehört oder das macht was du willst.

Equinox
The-DOG
The-DOG 28.09.2007 um 15:15:47 Uhr
Goto Top
1 des tool ist sogar veorgeschlagen als antivirenprogramm von chip.de http://www.chip.de/artikel/c1_artikel_27985554.html
(seite 4, pocket killbox)

2. instalier ich nun auf einer ex platte ein anderes neues uns sauberes win von msdn

3. werd ich dann dort vierenscanner reininstalieren und denn alle daten sichern sobalt sie sicher sind.

4 werd ich die alte platte formatieren ntfs-fat32-ntfs des win neu instalierendannach den vierenscanner neu drauf, alle alten programme instalieren und dann bereits da ein image machen. und dann erst die daten reinkopieren