HILFE: Trojaner hat Administrator-Rechte

Hallo!
Habe mir über eine infizierte mail einen Trojaner eingefangen. Ergebnis: Es erscheint nur noch das desktop-Bild und keine Dateien mehr, auch kein Start-Button. Im geschützten Modus habe ich zwar Zugriffsrechte, aber auch da nur der leere Bildschirm. Was soll ich tun? Im geschützten Modus erscheint ein "Administrator", wohl der Trojaner
Bitte um Hilfe!!!

 

Offline von einer Boot-CD (BartPe oder PCWLin mit Virenscanner) booten und Virus beseitigen.

 

Danke für die rasche Antwort!
Nur wo bekomme ich eine Boot-CD her,habe keine erstellt ...

 

Das im abgesicherten Modus noch ein Admin Konto erscheint ist in Ordnung. Ist vom System sozusagen ein "Notfalladmin". Du kannst versuchen dich da anzumelden und dein Virenproggi zu starten. Besser wäre jedoch ein Scan von einer bootbaren CD, wie franzkat empfohlen hat.

 

Hi!
Ich kann mich im abgesicherten Modus zwar anmelden, aber dann kommt nur der leere Bildschirm, ich habe also keinen Zugriff auf meine Dateien.
Wie komme ich denn zu einer Boot-CD mit Virenscanner?

 

Hallo Teuschel

Bist du rein zufällig im Besitz einer Notfall-CD von PC-Welt? Diese ist bootbar und enthält auch ein Anti-Viren-Programm.

Das PC-Welt Heft 02/2005 enthielt eine solche Notfall-CD. Hier kannst du das Heft ordern:

http://pcwelt.websale.net/

Gruß
Nevok

 

Die Windows-CD ist auch bootbar, Du könntest dann versuchen, über die MMC zu arbeiten.

 

> Du könntest dann versuchen, über die MMC zu arbeiten.

Erzähl doch mal: Wie geht das?

 

Ah, sorry, MMC war Schwachsinn, ich meinte die Wiederherstellungskonsole.

Ich würde so vorgehen: Wenn der Trojaner als Dienst gestartet wird, würde ich mir mit listsvc die vorhandenen Dienste auflisten lassen und anschließend mit disable deaktivieren.

Funktionierende Registrierungsdateien befinden sich im Ordner repair (\system, \software, \sam, \security, default) des Windows-Verzeichnisses. Diese können dann in das system32\config Verzeichnis mittels copy kopiert werden.


Das Problem damit ist folgendes: Da die aktuellen Registrierungsdateien damit überschrieben werden, entspricht der Zustand der Registrierung nach erfolgreichem Abschluß möglicherweise nicht mehr der aktuellen Situation.

Deswegen sind die anderen Lösungen vermutlich besser, je länger ich darüber nachdenke. Äh... ja...

 

Nicht möglichwerweise, sondern mit Sicherheit.Das, was im Repair-Ordner ist, entspricht der Situation nach der Erstinstallation.D.h., alle später installierten Programme sind dann nicht mehr in der Registry enthalten (da kann man dann meistens gleich neu installieren).

Sinnvoller ist es, eine relativ aktuelle Sicherung einer Registry-Datei aus dem System-Volume-Ordner zu benutzen (wenn es sich um XP handelt), wenn man die Systemwiederherstellung aktiviert hat.