Einen Virus eingefangen ?

PCDSmartie schrieb:

Neben vielen anderen Einträgen sind mir diese am schleierhaftesten:

Microgates schrieb:

C:\WINDOWS\htpatch.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\system32\sfpsvr.exe
C:\dokumente und einstellungen\günter schicketanz\lokale einstellungen\temp\gGkGjYSp.exe
C:\WINDOWS\System32\gqfnxq.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\IEHost.exe
C:\Programme\Common files\WinTools\WToolsA.exe
C:\WINDOWS\System32\upnacm.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\system32\pcs\pcsvc.exe
C:\Programme\Common Files\Dpi\dpi.exe
C:\Programme\ClearSearch\Loader.exe
C:\Dokumente und Einstellungen\Günter Schicketanz\Anwendungsdaten\soht.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\wnsapisu.exe
C:\Programme\DR_S\DR_S.exe
C:\Programme\Common files\WinTools\WSup.exe
C:\WINDOWS\System32\linnk.exe
C:\WINDOWS\System32\KsoyX.exe
C:\WINDOWS\System32\Cfxms10.exe
C:\WINDOWS\wanmpsvc.exe
C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\ctxad.exe
C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\NDrvF.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Zum Vergrößern anklicken....

Zum Vergrößern anklicken....

nicht alles davon ist schleierhaft

-------------------------------------------------
htpatch.exe = SiS AGP Patch, Silicon Integrated Systems (SiS)
PCMService.exe = Dell Media Experience
Dit.exe = Utility für Card Reader (Kartenlesegerät)
InCD.exe = Nero InCD
GhostStartTrayApp.exe = Norton Ghost Start Tray Applicaton
sfpsvr.exe = der Eintrag ist allerdings schleierhaft
gGkGjYSp.exe = der auch
gqfnxq.exe = der auch
DitExp.exe = Utility für Card Reader (Kartenlesegerät)
IEHost.exe = Trojan.Downloader
WToolsA.exe = HuntBar Hijacker (unter Remove Directories steht programfilesdir+\common files\wintools)
upnacm.exe = ist allerdings schleierhaft
AutoUpdate.exe = muß nicht unbedingt ein Hijacker sein, kann aber, Info 1, Info 2
pcsvc.exe = Adware DelFin Media Viewer
dpi.exe = gehört auch zu DelFin Media Viewer
Loader.exe (ClearSearch) = IGetNet Adware
soht.exe = TrojanDownloader
GHOSTS~2.EXE = Norton Ghost Software
wnsapisu.exe = PurityScan.c Adware
DR_S.exe = Ezula Adware
WSup.exe = gehört wie oben zur WToolA.exe, Info
linnk.exe = ist allerdings schleierhaft
KsoyX.exe = auch sehr merkwürdig
Cfxms10.exe = OK, der auch
wanmpsvc.exe = Wan Miniport
ctxad.exe = schleierhaft
NDrvF.exe = auch
x10nets.exe = ATI remote wonder Treiber
--------------------------------------------------
ich bin jetzt nur den zitierten Teil durchgegangen, dein System ist einfach zu verseucht. :-\

PCDSmartie schrieb:

Wenn das alles nix fruchtet, und kein Erfolg zu verzeichnen ist, wird das BS geplättet.

Zum Vergrößern anklicken....

wäre wohl die schnellste und sauberste Lösung.

pan_fee

Hallo Smartie ,

das war super. Ich habe Deine aufgeführten Analyse-Programme alle herunter geladen und laufen lassen.

Der Stinger hat schliesslich ins Schwarze getroffen und der Hijacker ist weg.

Ausserdem habe ich feststellen müssen, dass ich noch eine alte Version von Spybot-Search&Destroy hatte. Nach dem Upgrade von Version 1.2 auf 1.3 ist noch einiges an Spyware entdeckt und beseitigt worden.

Merkwürdigerweise klappte das Update aus der Version 1.2 nicht, so dass ich in letzter Zeit immer wieder die Meldung bekam, dass keine Updates verfügbar sind. Also habe ich mir die Version 1.3 aus dem Netz geholt und vor der Installation Version 1.2 deinstalliert.

Beim Aufruf des IE kommt jetzt eine weisse leere Seite (bedingt durch das about:blank). Ich muss also nur noch den Schreibschutz bei der Eingabe der Startseite aufheben und das geht offensichtlich mit einer Wiederholung der Aktionen im abgesicherten Modus (diesmal unter meinem Namen).

Nochmals vielen herzlichen Dank für Deine sehr gute Unterstützung und Hilfestellung. Dieses Forum ist einfach Spitze !

Liebe Grüsse

Microgates

Nützliche Links zum Browser-Umstieg:
http://www.wintotal-forum.de/?board=35;action=display;threadid=36533

pan_fee

Poste nochmal ein Log, um zu schauen, was noch evtl. da ist.

Hallo Experten ,

das permanent nervige Einsetzen einer anderen Startseite durch ein Hijacker-Programm ist nun offensichtlich und endgültig beseitigt.

Wahrscheinlich habe ich aber bei der Anwendung des Programms sphifix107.exe im abgesicherten Modus einen Fehler gemacht. Ich habe mich nicht als User mit meinem Namen angemeldet, sondern als Administrator.

Der PC fährt beim Einschalten immer ohne Anmeldung ganz alleine unter meinem Namen hoch, weil ich einen anderen Modus gar nicht brauche - der PC wird hier zu Hause ausschliesslich von mir benutzt.

Durch diese Aktion im abgesicherten Modus habe ich aber die Rechte zu Modifikationen des Feldes für den Eintrag einer anderen Startseite verloren (Meldung: .... contact your Administrator).

Das Feld selbst steht bei der Anmeldung unter meinem Namen schreibgeschützt auf about:blank und auch die drei Buttons darunter haben für mich als User keine Funktion. So erscheint beim Aufrufen des MSIE natürlich erst einmal eine weisse leere Seite, die ich dann durch Auswählen aus den Favoriten mit Leben füllen kann.

Wie kann ich mir wieder die uneingeschränkten Rechte zurück holen, die ich vor der Aktion hatte ? Muss ich noch einmal in den abgesicherten Modus und die gleiche Aktion als User angemeldet wiederholen ? Oder gibt es noch eine bequemere Möglichkeit der Einstellung ?

Wenn alles wieder vollkommen im Lot ist, werde ich auch noch einmal einen Scan hier einstellen, aber erst muss das wieder in Ordnung gebracht werden.

Es ist immer wieder eine Murkserei mir diesem Windows - besonders dann, wenn man sich mit den BS-Interna so gut wie nicht auskennt. Ich bin deshalb sehr froh, so ein sehr gutes Forum mit so kompetenten Leuten gefunden zu haben.

Viele liebe Grüsse

Microgates

Hallo Experten ,

ich habe gerade ca. eine halbe Stunde mit der Hotline von Medion (zum Glück ist dieser Service mit 12 Cent/Minute sehr preiswert) telefoniert.

Vorher hatte ich die bereits beschriebene Aktion unter meinem Namen im abgesicherten Modus noch einmal durchgeführt.

Es hat sich aber dadurch nichts verändert. Wenn ich die Benutzerkonten aufrufe, dann steht unter meinem Namen auch die Qualifikation Systemadministrator.

Das Eingabefeld für die Startseite des IE ist aber immer noch schreibgeschützt und ich bekomme nach wie vor die Meldung, dass ich den Administrator kontaktieren soll.

Medion hat letztendlich auch keine Antwort auf das Problem gefunden.

Es gäbe vielleicht noch die Möglichkeit, in der Registry an entssprechender Stelle die Eintragung About:blank durch meine gewohnte Startseite zu ersetzen.

Weiss denn von Euch noch jemand irgendeinen Tipp, wie ich mir diese Rechte zurück holen kann, so dass ich jederzeit die Option der Neueintragung im Startseite-Feld habe ??

Viele liebe Grüsse

Microgates

Probier mal auf dieser Seite: http://www.kellys-korner-xp.com/xp_tweaks.htm

Punkt 255 auf der linken Seite: Restore Folder Options/Internet Options
oder Punkt 268 auf der linken Seite: Restore All Tabs under Internet Options

Normalerweise sind dafür manche Schädlinge schuld, deswegen nochmals der Hinweis auf ein erneutes HijackThis-Log, da sicher noch mehr Mist auf dem System ist.

PCDFlocke schrieb:

Probier mal auf dieser Seite: http://www.kellys-korner-xp.com/xp_tweaks.htm

Punkt 255 auf der linken Seite: Restore Folder Options/Internet Options
oder Punkt 268 auf der linken Seite: Restore All Tabs under Internet Options

Zum Vergrößern anklicken....

Hallo Flocke ,

herzlichen Dank für die Tipps. Ich habe die beiden Programme laufen lassen und nun habe ich auch wieder freien Zugriff auf die Optionen für die Startseite. Der Schreib- oder Autorisierungsschutz ist also nicht mehr vorhanden.

Der Punkt ist also abgehakt und auch Spybot zeigt bei neuerlichen Läufen mit der aktuellsten Version keine Schädlinge mehr an.

Von Spybot ausgehend habe ich auch einen aktiven Active-X-Schutz legen lassen (empfohlen vom Programm).

In Zukunft sollte ich wirklich etwas vorsichtiger mit meinen Aktionen im Netz sein. Bisher war über viele Jahre ja alles gut gegangen, aber in der letzten Zeit scheinen sich die Angriffe immer mehr zu häufen, was ja auch die Anzahl der Einträge im Forum beweist.

Auch der Medion-Support-Center wird derzeit überhäuft mit Anfragen bezüglich dieser Spyware- und Hijacker-Programme. Dennoch konnten die mir nicht wegen des Schreibschutzes helfen.

Deshalb nochmals vielen herzlichen Dank für den Tipp und die Superadresse.

Das einzige, was jetzt noch nicht in Ordnung ist, ist mein internes Netzwerk. Da muss sich irgendetwas verstellt haben und ich darf die Parameter wahrscheinlich nochmals alle zu Fuss eingeben und anpassen.

Viele liebe Grüsse und nochmals vielen Dank !

Microgates

PS.
Jetzt klappt es auch wieder mit dem Netzwerk zwischen den beiden PCs. Ein Parameter hatte sich verstellt und nach Richtigstellung kann ich nun von beiden PCs auf alles zugreifen.