kein zugriff aus systemsteuerung unter win 2k

#0
16.07.2005, 14:59
...neu hier

Beiträge: 5
#1 moin moin,

ich habe win 2k adv server mit sp 4

hatte einige trojaner die ich mit spybot gefunden und alle ausgemerzt habe

nun hab ich aber das problem das irgend ein trojaner anscheinend viele context menu einträge und zugriff auf systemsteuerung schlicht abgestellt hat.

ich bekomme keine fehlermeldung aber auch keine funktion.

im control panel geht nur noch administrative tools, folder options und fonts

kann also nicht mal mehr meine uhrzeit oder desktop einstellen.

hijacklog
---
Logfile of HijackThis v1.99.1
Scan saved at 14:57:53, on 16.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Local Security Authority Service] rem C:\WINNT\System32\lssas.exe
O4 - HKLM\..\Run: [NeroFilterCheck] rem C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] REM RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] REM nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Program Files\Offline Explorer Pro\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Program Files\Offline Explorer Pro\Add_AllO.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5FF7A70-A05C-4FB1-960E-E31CD67BCFA7}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

----

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

dieser eintrag kommt immer wieder auch wenn ich bei hijack fix checked mache is er beim nächsten scan wieder da

rechner frisch virengescant mit MWAVL nach anleitung /addaware/spybot nix gefunden

traurige gruesse
Seitenanfang Seitenende
16.07.2005, 20:09
Moderator
Avatar joschi

Beiträge: 6466
#2 O4 - HKLM\..\Run: [Local Security Authority Service] rem C:\WINNT\System32\lssas.exe
http://sysinfo.org/startuplist.php?filter=lssas.exe

Scanne die Datei mal bitte unter http://virusscan.jotti.org/de/
Die ist 100%-ig nicht "sauber"; das ergebnis würde mich interessieren.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
16.07.2005, 21:23
...neu hier

Themenstarter

Beiträge: 5
#3 Auslastung:
0% 100%
Datei: LSASS.EXE
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden
Seitenanfang Seitenende
16.07.2005, 23:10
Moderator
Avatar joschi

Beiträge: 6466
#4 Ich lese:

Zitat

C:\WINNT\System32\lssas.exe
Gibt es diese Datei oder nicht ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
17.07.2005, 03:05
...neu hier

Themenstarter

Beiträge: 5
#5 nein die lssas.exe gibts bei mir nicht
Seitenanfang Seitenende
17.07.2005, 09:36
Moderator
Avatar joschi

Beiträge: 6466
#6 Dann ist der Eintrag wohl beim Entfernen der anderen Malware stehen geblieben.

Welcher Usergruppe gehört dein Account an ?

Was das Log betrifft, bleibt noch
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Program Files\Offline Explorer Pro\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Program Files\Offline Explorer
Könnten aber auch von Dir erwünscht sein (?).
Falls nicht benötigt, dann fixen, incl.:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
Du solltest zudem als Admin angemeldet sein und das Fixen im abgesicherten Modus erfolgen lassen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende