Einen Virus eingefangen ?

  • #1
M

Microgates

Bekanntes Mitglied
Themenersteller
Dabei seit
10.04.2004
Beiträge
117
Reaktionspunkte
0
Hallo Experten ,

seit heute nachmittag erscheint nach dem Aufruf des MSIE-6.0 nicht mehr meine gewohnte Startseite, sondern das entsprechende Feld in der Optionen ist mit about:blank überschrieben worden. Nun erscheint jedesmal eine Spyware-Seite, die mich darauf hinweist, dass ich meinen PC scannen soll.

Ich kann zwar dort in dem Feld meine gewohnte Startseite wieder eintragen und auch mit ok bestätigen, aber beim nächsten Aufruf des MSIE steht schon wieder dieser alte Mist drin.

Wie kann ich es denn hinbiegen, dass mir dieses Feld nicht dauernd überschrieben wird ? Irgendetwas muss sich doch da irgendwo eingenistet haben und jedesmal das Feld ändern ?

Ausserdem habe ich schon seit ein paar Wochen eine Datei auf dem Rechner, die mich echt nervt. Der Norton-Anti-Virus springt regelmässig auf diese Datei an und warnt vor einem Virus.

Die Datei lautet:

C:\windows\system32\ia.dll

Norton gibt den Virusnamen mit Bloodhound-Packed an.

Zwar kommt gleichzeitig mit der Norton-Einblendung der Hinweis, dass die Datei ia.dll repariert wurde, aber die Warnung kommt trotzdem immer wieder. Und beim Scannen mit NAV oder Spybot-Search $ Destroy kommt diese Warnung fast im Minutentakt und muss erst aufwendig ausgeklickt werden.

Kann ich diese ia.dll Datei eigentlich so ohne Weiteres löschen, ohne dass ich mir etwas zerschlage ?

Mit dem seit heute stattfindenden sehr nervenden Überschreiben meiner Startseite hat das aber nichts zu tun.

Ich freue mich schon auf Eure wie immer sehr guten und kompetenten Antworten.

Liebe Grüsse

Microgates
 
  • #3
Hallo PCDFlocke ,

herzlichen Dank für den Link. Wahrscheinlich habe ich den Mist mit der Startseite sogar anderweitig beseitigen können.

Ich habe Adaware über die gesamten Festplatten rutschen lassen und es wurden zwei Verdächtige gefunden. Den Rest hatte vorher ja schon der Lauf mit Spybot erledigt.

Die zwei von Adaware identifizierten Übeltäter habe ich auf die Quarantänestation verlegt und seitdem ist Ruhe im Karton.

Was ich allerdings mit der in meinem ersten Posting engesprochenen ia.dll - Datei machen soll, ist mir nach wie vor schleierhaft.

Liebe Grüsse

Microgates
 
  • #4
  • #5
Hallo Experten ,

jetzt bin ich endlich dazu gekommen, den Text durchzuarbeiten und die Programme zu fahren.

Ganz am Ende habe ich das Programm sphjfix107.exe gefunden und gestartet. Daraufhin wurde das Systen neu gestartet und das Programm hat sich selbst noch einmal aufgerufen, um den Prozess abzuschliessen. Mir wurde gemeldet, dass das System infiziert war und die Sache jetzt beseitigt ist.

Leider habe ich aber immer noch das Problem mit der Startseite. Ich kann in das Feld reinschreiben, was ich will - beim zweiten Aufruf des MSIE-6.0 steht dann wieder About:blank drin und eine merkwürdige Seite wird geladen (die ich natürlich überhaupt nicht haben will). Kurioserweise bietet mir diese nicht gewollte Seite sauteure Programme zum Entfernen von Hijacker-Attacken an. Und die andauerenden Popups nerven gewaltig.

Ich habe auch HijackThis (Version 1.97.7) gefahren und führe das Resultat hier auf, weil ich da nicht durch blicke.

Den CoolWebShredder 1.59.0 habe ich ebenfalls herunter geladen, aber noch nicht laufen lassen, weil ich vielleicht erst mit dem Protokoll des HijackThis-Laufs klar kommen sollte.

Kann mir da bitte jemand helfen ?

Hier ist das Protokoll:

Logfile of HijackThis v1.97.7
Scan saved at 17:09:06, on 26.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network ICE\BlackICE\blackd.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Network ICE\BlackICE\blackice.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
L:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2A27F302-8252-4FD7-AE94-B211293DB766} - C:\WINDOWS\System32\nngk.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - Global Startup: BlackICE Utility.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) -
O9 - Extra button: Preispiraten (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: Yahoo! Chat -
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) -
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) -
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) -
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://F:\Content\include\msSecUcd.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) -


Viele liebe Grüsse und vielen herzlichen Dank schon im voraus.

Microgates
 
  • #6
..... mir ist beim Durchforsten der aufgelisteten Dateien aufgefallen, dass sich unter R0,R1,R2... immer wieder diese Datei sp.html befindet.

Diese Datei habe ich einfach mal in den Explorer geladen und siehe da, es ist genau die Seite, die immer wieder statt meiner Startseite beim Aufruf des Explorers angezeigt wird.

Nun weiss ich natürlich nicht, ob ich diese Datei so einfach löschen kann. Und wenn, kann man sie einfach manuell rausschmeissen oder muss man dazu noch einmal das Tool HijackThis laufen lassen ?

Und was hat dieser Eintrag about:blank eigentlich zu bedeuten ? Ist der auch durch das Hijacking erst entstanden ?

Ich muss einfach diese dummen Fragen stellen, weil ich mich mit den ganzen Windows-Interna nicht so auskenne und mit dem Löschen von mir unbekannten Dateien äusserst vorsichtig bin.

Viele liebe Grüsse

Microgates
 
  • #7
Microgates schrieb:
Ganz am Ende habe ich das Programm sphjfix107.exe gefunden und gestartet.
Zum Vergrößern anklicken....
Dann mach das nochmal.

Den CoolWebShredder 1.59.0 habe ich ebenfalls herunter geladen, aber noch nicht laufen lassen, weil ich vielleicht erst mit dem Protokoll des HijackThis-Laufs klar kommen sollte.
Zum Vergrößern anklicken....
Nee, genau andersrum. Erst das SP-Fix Programm laufen lassen, dann CoolWebShredder und erst danach, wenn das Prob dadurch immer noch nicht behoben wurde, dann erst HijackThis anwenden.
 
  • #8
Hallo Flocke ,

herzlichen Dank für den Tipp. Dann werde ich das mal in der von Dir genannten Reihenfolge laufen lassen.
Auf jeden Fall gibt es dann heute nachmittag einen Bericht, wie und ob die Säuberung ausgegangen ist.

Viele Grüsse

Microgates

PS.
Was ist denn nun eigentlich mit der von mir im Posting erwähnten Datei pn.html ?
 
  • #9
...... sorry, die Datei heisst natürlich sp.html und nicht pn.html .

Microgates
 
  • #10
O2 - BHO: (no name) - {2A27F302-8252-4FD7-AE94-B211293DB766} - C:\WINDOWS\System32\nngk.dll

Check mal obige Datei....

Kommt mir spanisch vor...

Weisst Du auch, was
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll

für eine Datei ist?

Sonst keine Auffälligkeiten...

Hatte vor kurzem ähnliches Problem, schuld war auch ein Virus als .dll Datei....

cybergreini
 
  • #12
Hallo Experten ,

ich habe diese beiden Dateien nun ausgiebig gescannt und es konnte kein Virus endeckt werden.

Stattdessen wurde in System32 eine andere Datei als verseucht erkannt. Der Name SHead.exe. Ich habe die Datei auf eine andere Festplatte gespeichert und umbenannt. Danach habe ich sie in System32 gelöscht.

Nach wie vor habe ich diesen Ärger mit der Startseite beim Öffnen des MSIE6.0.

In Lokale Einstellungen unter Temp nistet sich immer wieder die Datei sp.html ein (auch wenn ich sie vorher gelöscht habe). Diese merkwürdige Datei wird auch immer wieder dann als Startseite geladen.

In demselben Temp-Ordner befindet sich noch eine andere vielleicht dubiose Datei.
Der Name: Perflib_Perfdata_914.dat.

Ich habe versucht, diese Datei mit dem Norton Anti Virus zu scannen, aber NAV bekommt keinen Zugriff auf diese Datei.

Im Moment weiss ich nicht, was ich noch unternehmen könnte.

Hat jemand noch einen Tipp ??

Viele liebe Grüsse

Microgates


PS.
Ich habe eben noch einmal HijackThis über das System rutschen lassen. Hier ist das neue Resultat:


Logfile of HijackThis v1.97.7
Scan saved at 18:01:09, on 27.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Network ICE\BlackICE\blackice.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Network ICE\BlackICE\blackd.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Messenger\msmsgs.exe
L:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2A27F302-8252-4FD7-AE94-B211293DB766} - C:\WINDOWS\System32\nngk.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - Global Startup: BlackICE Utility.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) -
O9 - Extra button: Preispiraten (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: Yahoo! Chat -
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) -
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) -
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) -
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://F:\Content\include\msSecUcd.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) -
 
  • #14
Schalte zur Sicherheit auch mal die Systemwiederherstellung aus bei der Bereinigung.
 
  • #15
PCDSmartie schrieb:
Jo, du hast halt immer noch den sp.html-Hijacker drauf. Starte den Rechner im agesicherten Modus, und reinige dann.

Eine Suche nach Antivir wäre mit Sicherheit erfolgreich gewesen:
Zum Vergrößern anklicken....

Herzlichen Dank für den Tipp mit dem abgesicherten Modus.
Aber welche notwendigen Aktionen verstehst Du dann unter Reinigung ?

Liebe Grüsse

Microgates
 
  • #16
Damit meine ich das Programm sphjfix107.exe. Nach dessen Ausführung im abgesicherten Modus und der Reinung des PCs von diesem Schädling nochmals händisch nach der sp.html auf der Festplatte suchen und löschen.

Danach wieder normal booten, und NICHT den IE starten, sondern mit HiJackThis schauen, ob dieser sp-Hijacker nun weg ist oder nicht, und ggf. erneut ein Log hier posten.
 
  • #17
PCDSmartie schrieb:
Damit meine ich das Programm sphjfix107.exe. Nach dessen Ausführung im abgesicherten Modus und der Reinung des PCs von diesem Schädling nochmals händisch nach der sp.html auf der Festplatte suchen und löschen.

Danach wieder normal booten, und NICHT den IE starten, sondern mit HiJackThis schauen, ob dieser sp-Hijacker nun weg ist oder nicht, und ggf. erneut ein Log hier posten.
Zum Vergrößern anklicken....


Hallo Smartie ,

nun bin ich genau nach Deiner Beschreibung vorgegangen und habe sphifix107.exe im abgesicherten Modus gestartet. Danach kam oben in der Kopfzeile des Programmfensters die Nachricht SP.html Hijack Fixer --> nicht infiziert.

Anschliessend habe ich noch nach der Datei sp.html gesucht, aber es war keine mehr vorhanden.

Dann habe ich Windows wieder normal hochgefahren und direkt HiJackThis gestartet. Dort taucht dann schon wieder sp.html auf.

Merkwürdigerweise kann ich nun bei den Optionen des Internet-Explorers bei der Startseite gar nichts mehr ändern, da alle Felder grau und offensichtlich schreibgeschützt sind. Auch die Buttons unterhalb der Eingabezeile für die Startseite sind nicht mehr benutzbar und tot.

Und natürlich hat sich wieder meine geliebte Seite beim Aufruf des IE gemeldet (mit all ihren wunderschönen Popups). Also leider alles wie vorher.

Kann es sein, dass ich mich beim abgesicherten Modus falsch angemeldet habe. Es gab ja dort die Optionen Administrator und mein Name. Ich habe mich als Adnministrator abgemeldet und obige Aktionen unter dieser Autorisierung gestartet. Musste ich das eventuell unter meinem Namen machen ? Ich arbeite hier alleine zu Hause am PC und habe mich mit Administratorrechten etc. noch nie auseinander setzen müssen.

Hier kommt das Protokoll aus dem HiJackThis-Lauf :

Logfile of HijackThis v1.97.7
Scan saved at 17:52:55, on 28.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\system32\sfpsvr.exe
C:\dokumente und einstellungen\günter schicketanz\lokale einstellungen\temp\gGkGjYSp.exe
C:\WINDOWS\System32\gqfnxq.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\IEHost.exe
C:\Programme\Common files\WinTools\WToolsA.exe
C:\WINDOWS\System32\upnacm.exe
C:\Programme\Network ICE\BlackICE\blackd.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\system32\pcs\pcsvc.exe
C:\Programme\Common Files\Dpi\dpi.exe
C:\Programme\ClearSearch\Loader.exe
C:\Programme\WebWasher\wwasher.exe
C:\Dokumente und Einstellungen\Günter Schicketanz\Anwendungsdaten\soht.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\wnsapisu.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\DR_S\DR_S.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Common files\WinTools\WSup.exe
C:\WINDOWS\System32\linnk.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Network ICE\BlackICE\blackice.exe
C:\WINDOWS\System32\KsoyX.exe
C:\WINDOWS\System32\Cfxms10.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\ctxad.exe
C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\NDrvF.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
L:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: IncrediFindBHO Class - {4FC95EDD-4796-4966-9049-29649C80111D} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\Programme\ClearSearch\CSIE.DLL
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2A27F302-8252-4FD7-AE94-B211293DB766} - C:\WINDOWS\System32\nngk.dll
O2 - BHO: NavErrRedir Class - {4FC95EDD-4796-4966-9049-29649C80111D} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\Programme\SEP\sep.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O3 - Toolbar: Band Class - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\Programme\SEP\sep.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [sfpsvr] C:\WINDOWS\system32\sfpsvr.exe
O4 - HKLM\..\Run: [gGkGjYSp.exe] C:\dokumente und einstellungen\günter schicketanz\lokale einstellungen\temp\gGkGjYSp.exe
O4 - HKLM\..\Run: [umjbtlgxvpyr] C:\WINDOWS\System32\gqfnxq.exe
O4 - HKLM\..\Run: [4JATK3@4#AJHRM] C:\WINDOWS\System32\Lcl7.exe
O4 - HKLM\..\Run: [Bakra] C:\WINDOWS\System32\IEHost.exe
O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [27oR3pV] upnacm.exe
O4 - HKLM\..\Run: [AutoUpdater] C:\Program Files\AutoUpdate\AutoUpdate.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [Dpi] C:\Programme\Common Files\Dpi\dpi.exe
O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Günter Schicketanz\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisu.exe
O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe
O4 - HKCU\..\Run: [Jw75RfZtQ] linnk.exe
O4 - Global Startup: BlackICE Utility.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) -
O9 - Extra->Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Preispiraten (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: Yahoo! Chat -
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) -
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) -
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) -
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://F:\Content\include\msSecUcd.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} -
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) -
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) -


Nun weiss ich natürlich wieder nicht weiter. Hoffentlich bekommen wir den Mist irgendwie vom System.

Viele liebe Grüsse und vielen Dank für Deine Unterstützungen.

Microgates
 
  • #18
Nunja, du solltest dich auch im abgesicherten Modus in dem Benutzerkonto anmelden, in dem das Problem besteht.

Desweiteren bin ich etwas verzweifelt über deine installierte Software. Da läuft so viel Mist, das ist einfach nicht mehr feierlich (nicht böse aufnehmen, ist eben meine Meinung).

Neben vielen anderen Einträgen sind mir diese am schleierhaftesten:

Microgates schrieb:
C:\WINDOWS\htpatch.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\system32\sfpsvr.exe
C:\dokumente und einstellungen\günter schicketanz\lokale einstellungen\temp\gGkGjYSp.exe
C:\WINDOWS\System32\gqfnxq.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\IEHost.exe
C:\Programme\Common files\WinTools\WToolsA.exe
C:\WINDOWS\System32\upnacm.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\system32\pcs\pcsvc.exe
C:\Programme\Common Files\Dpi\dpi.exe
C:\Programme\ClearSearch\Loader.exe
C:\Dokumente und Einstellungen\Günter Schicketanz\Anwendungsdaten\soht.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\wnsapisu.exe
C:\Programme\DR_S\DR_S.exe
C:\Programme\Common files\WinTools\WSup.exe
C:\WINDOWS\System32\linnk.exe
C:\WINDOWS\System32\KsoyX.exe
C:\WINDOWS\System32\Cfxms10.exe
C:\WINDOWS\wanmpsvc.exe
C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\ctxad.exe
C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\NDrvF.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Zum Vergrößern anklicken....

Ich bin eigentlich fest überzeugt, dass auf deinem System noch mehr Mist ist, als dieser sp.html-Hijacker. Ich habe derzeit nicht die Zeit, jeden Prozess im Internet nachzuforschen, wozu er dient. Mit einem alternativen Browser wie Firefox (muss nicht installiert werden) kannst du damit auch schon mal anfangen, und auf die Suche begeben, um dein System anschließend mit einer fundierten Wissensgrundlage zu entwanzen.

Auf deinem System ist so viel Schutzsoftware, die dir nicht geholfen hat. Die Sache ist die: Keine Schutzsoftware schützt dich vor deinen eigenen Taten. Da hilft nur das eigene Gehirn, was daraufhin geschärft und geschult werden muss, um künfig ein besseres Surf- und Klickverhalten zu haben. Gerade hier würde ein Browser ohne ActiveX-Funktionalität gut tun.
 
  • #19
Hallo Smartie ,

herzlichen Dank für Deine ehrliche Antwort. Ich weiss ja selbst nur zu gut, dass mein System total überfrachtet ist, aber bisher ist alles gut gelaufen und die Kiste ist auch immer noch sehr schnell, weil ich trotz knapp 500 Gigabyte Festplattenkapazität turnusmässig meine Defragmentierungen fahre und auch ansonsten mit Hilfe einiger Norton-Tools relative Ordnung herrscht.

Sicher wäre es sinnvoll, einmal eine Radikalkur zu fahren und beide Festplatten komplett zu putzen und das System von Grund auf neu zu installieren. Aber das sagt sich so leicht, denn es würde doch sehr viel Zeit brauchen, bis es wieder so läuft, wie ich es gerne haben will.

Macht es denn Sinn, die ganze Prozedur unter dem abgesicherten Modus noch einmal unter meinem Namen (statt unter Administrator) durchzuführen ?

Viele liebe Grüsse

Microgates
 
  • #20
Der sp.html-Hijacker ist einer der härtesten seiner Art. Du solltest auf jeden Fall versuchen, diesen loszuwerden; unter deinem Login.

Es gibt sicher auch Dokumantationen, welche Einträge in der Registry und welche Dateien auf der Festplatte gelöscht werden müssen, um diesen Schädling loszuwerden. Das wäre die manuelle Methode, ohne sich auf Tools zu verlassen.

Tool-seitig verwende ich auf Rechnern, die gereinigt werden müssen, folgende Tools, bei denen ich aber nicht weiß, ob sie gegen den sp.html-Hijacker helfen, da ich mit diesem Schädling (zum Glück) noch keinen Kontakt hatte:

zur Erkennung:


dann:





zur Not noch:


Virenscan im Extremfall hinterher:


Wenn das alles nix fruchtet, und kein Erfolg zu verzeichnen ist, wird das BS geplättet.
 
Thema:

Einen Virus eingefangen ?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.849
Beiträge
708.008
Mitglieder
51.501
Neuestes Mitglied
Theothai
Oben