Taskmanager weg + Dateien in C:\System Volume Information\ löschen

#1 Hallo Zusammen,

ich habe hier gerade einen PC von Nachbars stehen, den ich wieder zum laufen bringen soll - ohne Datenverlust und möglichst ohne Formatieren....

System wie folgt:

ALDI PC mit 3,0Ghz

Betriebssystem Windows XP Home Edition - vermutlich ne geupdatet.


Problem:

Das Ding ist mehr als langsam für seine 3Ghz, da er nicht gepflegt wurde und sich durch fehlende Firewall und Virenscanner über ISDN diverse Viren, Würmer und Spyware gehölt hat.

Aufgeräumt hab ich ihn schon, was noch fehlt:

1. Taskmanager ist deaktiviert - auch bei Adminrechten - wo kann ich bei Win XP Home in die Benutzerverwaltung? gpedit.msc funktioniert net.

2. Noch einige Viren im System Volume oder so, die ich nicht rauskriege, da Escan selbst wenn ichs in bases installieren nur Scannt aber keine Reperaturen vornimmt, andere Scanner haben nix gefunden.

Wo die Viren stecken und wie sie heissen reich ich nach, sobald Escan komplett gelaufen ist.

Da ist die Frage wie ich die entfernen oder säubern kann.

Hier noch mal der letzte Hijacklog zum drüberschauen, ob ihr noch was seht:
Logfile of HijackThis v1.98.2
Scan saved at 15:49:57, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\T-TELE~1\backweb\2581593\Program\SERVIC~1.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FCH32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FAMEH32.EXE
C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE
C:\Programme\T-TeleSec Personal Security Service\FSGUI\fsguiexe.exe
C:\Programme\T-TeleSec Personal Security Service\FSGUI\ispnews.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\ISDN_UTL\ISDNSTA.exe
C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\Program\fspex.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\T-TeleSec Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [ISDNStatus] C:\PROGRA~1\ISDN_UTL\isdnsta.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: ISDN Status.lnk = C:\Programme\ISDN_UTL\ISDNSTA.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51E356CD-A7CD-4FD2-B770-D3E622EE8B44}: NameServer = 62.225.244.197,194.25.2.129

Besten Dank schonmal für die Hilfe, die Virendaten werden wie gesagt nachgeschoben,

Gruß
Bix

#2 So hier ist die AdWare, die noch drauf sind, ich aber mit Escan nicht wegbekomme, da Escan auf diesem PC nur scannt und nicht wie auf meinem auch cleant:

Adware:
File C:\Programme\MySearch\bar\1.bin\NPMYSRCH.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.

File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.

File C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP33\A0043775.exe tagged as not-a-virus:RiskWare.Dialer.E-Group.b. No Action Taken.

File C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP33\A0043776.exe tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.

File C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP33\A0043777.exe tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.

File C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP33\A0043778.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.b. No Action Taken.

File C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP33\A0043779.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1048. No Action Taken.

File C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP33\A0043784.exe tagged as not-a-virus:RiskWare.Dialer.E-Group.b. No Action Taken.

File C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP33\A0043939.DLL tagged as not-a-virus:AdWare.ToolBar.MyWay.f. No Action Taken.


Problem sind eigentlich nur die AdWare und der Dialer in der System Volume Information. Die Adware unter C:\Programme kann man löschen/deinstallieren, kommt halt nur durch den anderen Eintrag wieder.

Und das besthende Problem mit dem Taskmanager bleibt halt auch noch.

#3 erstmal ein grosses Lob für Deine genaue Fehlerbeschreibung!

Taskmanager Problem:
Stelle sicher, dass Du als Administrator angemeldet bist, und vergib anschließend für Deinen Benutzernamen Administrator-Rechte.
Dieses kannst Du mit rechter Maustaste auf Arbeitsplatz unter Verwalten.

eventuell löst sich auch das Problem wenn die ganze Malware entfernt ist, die blockt den nämlich ganz gerne!

hoffe andere User haben hier noch mehr Ideen bzw. kennen einige Registry Keys...


Dateien in C:\System Volume Information\ löschen
also diese Ordner macht man im Windows Explorer sichtbar indem man im Menü auf
Extras -> Ordneroptionen -> Register Ansicht -> und den Haaken bei "Geschützte Systemdateien ausblenden (empfohlen)" entfernt.

hoffe das man das dann einfach löschen kann ansonsten gibt es hier ein interessantes Tool um Dateien dann beim Start zu löschen

hoffe das hilft Dir wenigstens ein bisschen...

Greetz Lp

#4 Besten Dank für die Tipps, also mit den Administratorrechten klappt so vorerst nicht, da unter Verwaltung das Benutzermanagment ebenfalls ausgeblendet ist.
D.h. ich kann maximal unter der Kontenverwaltung was ändern, dort habe ich schon einmal festgestellt, dass ich den Kontotyp von Admin zu Eingeschränkt und wieder zurück zu Admin zwar ändern kann, dies das Problem allerdings nicht löst.

Was funktioniert ist einen neuen Benutzer als Admin anlegen, dann kann ich auf der einen Seite den Taskmanager wieder benutzen, aber immernoch nicht auf die Benutzerverwaltung zugreifen.

Werde nun erstmal versuchen, die Malware komplett zu entfernen und mich dann nocheinmal melden falls das Problem noch besteht.

#5 So also lustige Geschichte:

1. Ich habe Adminrechte
--> komme aber nicht in die Benutzerverwaltung
--> komme auch nicht in den "System Volume Information" Ordner, sagt mir
immer ich hätte keine Berechtigung
--> habe Malware und Dialer in dem Besagten Ordner, die sich nicht mit
Virenscanner löschen lassen

Zudem funktioniert der Taskmanager in den Benutzern nicht, die angelegt waren als mir der PC gebracht wurde, jedoch funktioniert er bei einem neu angelegteb Adminnutzer, da funktioniert allerdings der Rest, Gruppen-/Userverwaltung net.


Also falls jemand noch irgend einen Rat hat, wie ich das wieder sauber kriege ohne das System neu aufzuspielen, so bitte ich um Tipps

Gruß
Bix

#6 Hallo@Bixbyit

Start<Ausfuehren<regedit

Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Policies\
System\

Falls der Schlüssel System noch nicht existiert, dann müssen Sie
ihn erstellen. Dazu klicken Sie im Menü auf "Bearbeiten" > "Neu" >
"Schlüssel". Als Schlüsselnamen geben Sie "System" ein.

Doppelklicken Sie auf "DisableTaskMgr".

Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn
erstellen. Dazu klicken mit der rechten Maustaste in das rechte
Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert". (REG_DWORD)
Geben Sie nun den Namen "DisableTaskMgr" ein.

DisableTaskMgr:
0 = Der TaskManager ist eingeschalten/aktiviert.
1 = Der TaskManager ist ausgeschalten/deaktiviert.
Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies
kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht
mehr richtig arbeiten.

Die Änderungen werden ggf. erst nach einem Neustart aktiv.
http://www.tippscout.de/Taskmanager-mit-einem-Griff-aufrufen_tipp_1949.html
............................................................................................................
Die Malware loescht du, indem du es in das HijackThis kopierst.
1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
C:\Programme\MySearch\bar\1.bin\NPMYSRCH.DLL
4.) PC neustarten
(gleiches mit: C:\Programme\MySearch\bar\1.bin\S4BAR.DLL)

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Reinigen\Optimieren:
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/

und nicht vergessen, zu defragmentieren !

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

besten Dank für die Tipps, hilft mir allerdings nicht weiter. Die Probleme bestehen weiter, die Malware kriege ich nicht gelöscht, hab Escan pro als Testversion probiert, der kriegt aber nur die Fehlermeldung, das auf System Volume Information nicht zugegriffen werden kann, ergo ändert/löscht/oder bereinigt er auch nichts. Hab sogar die Platte an nen anderen PC gehangen und es darüber probiert hat ebenfalls nichts gebracht.

Gleiches gilt für die Gruppen/Benutzerverwaltung, komme ich nicht rein und wird mir auch nicht angezeigt. Ich habe zwar den Regeintrag für den Taskmanager erstellt und auch umgestellt, fahre ich aber einmal runter und wieder hoch ist alles wieder beim alten und die Malware hat den Wert selbstständig geändert.


Ich werde nun in den sauren Apfel beissen und den PC von Grund auf neuaufbauen und eben auch Sicherheitssoftware installieren, die Nachbars vorher nicht drauf hatten.

Gruß
Bix