Eingeschränkte ADMIN-Rechte nach Browser Hijack

#1 Hallo,

dank Eurer Seite konnte ich das Problem VirusIsolator auf meinem Rechner beheben. Nun habe ich noch das Problem, das bei IE7 die Startseite nicht mehr durch mich (mit Adminrecht) veränderbar ist, da VirusIsolator dort seine Seite reingestellt hat. Auch kann ich den Taskmanager nicht mehr aufrufen, da er durch den Admin gesperrt wurde. Und Programme instalieren geht auch nicht mehr?
Wie kann ich meine vollen Adminrechte wieder herstellen (BS ist XP)?

Vielen Dank,
Motor

#2 Hallo,

Info:
virusisolator-remove
http://virus-protect.org/artikel/spyware/virusisolator-remove.html

-------------

gehe in die Registry
Start - Ausführen - regedit

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableClock
DisableRegistryTools - löschen
NoDispCPL
DisableTaskMgr - löschen

PC neustarten

«
versuche combofix zu installieren + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

vielen Dank für den Tipp,
DisableTaskMgr - löschen
habe ich gelöscht und der Taskmanager funktioniert wieder.
Die anderen Datein habe ich in der Regestriy nicht gefunden.

Nun habe ich noch das Problem, dass ich keine neuen Programme installieren kann, da ich kein Adminrechte besitze und im IE 7 die Startseite nicht anklicken kann, da unten auf der Registriertkarte der Hinweis steht, das einige Einstellungen nur durch den Admin geändert werden können.
Diese Einschränkungen bestehen seit der Virusisolator-Attacke.
Wenn ich bei Benutzerkonto schaue, stehe ich dort aber als Admin drin.
Was muss ich noch tun, um wieder Herr über meinen Rechner zu sein?

LG und Danke,
Motor

#4 Hallo,

««
http://virus-protect.org/systemwiederherstellung.html
Systemwiederherstellung - Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählt man: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen die gesetzten Wiederherstellungspunkte. - wähle einen Tag, als der Rechner noch sauber war...........

«
lade den Browser Firefox
http://virus-protect.org/firefox.html

««
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein


««
Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k




««
versuche Combofix zu laden, scanne + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

anbei der Combofix-log.
Bin gespannt, was zu finden ist.

Das mit der Systemwiederherstellung habe ich noch nicht gemacht,
da ich es gestern wohl übersehen habe.

Gruß und Danke
Motor

#6 Hallo,

versuche in den abgesicherten Modus zu kommen , von dort aus müsstest du vollen Zugriff auf alle Programme haben

1.
wende Cleaner an, damit das hier entfernt wird
http://www.ccleaner.de/?protecus.de

Zitat

C:\DOKUME~1\Me\LOKALE~1\Temp\

19.04.2008 12:17 43 removalfile.bat
29.03.2008 18:06 16.384 3C.tmp

2.
versuche Combofix zu laden, scanne + poste den report (was du gepostet hast, ist completbat ...hatte ich gepostet und dann wieder rausgenommen)
http://virus-protect.org/artikel/tools/combofix.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

es funktioniert alles wieder, große Erleichterung und herzlichen Dank an Euch!
Super kompetente Hilfe!
Soll ich den log trotzdem posten?

Gruß,
Motor

#8 ja klar...alles posten bitte
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Anbei der log.

Gruß,
Motor

#10 ««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\qappsrv.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

habe die exe checken lassen. Keine Virusmeldung. Anbei der output.
Nun habe ich nur noch 1 Problem. Ein Windows-update kann beim runterfahren des Rechners nicht installiert werden.

Grüße,
Motor

#12 Hallo,

1.
wende regstuff an + poste das log
http://virus-protect.org/registry_stuff.html

2.
wende dial-fix an (alles anhaken) + poste den report + berichte, ob die windowsupdates wieder funktionieren
http://virus-protect.org/artikel/tools/dial_a_fix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina,

anbei das zu postende vom Schritt 1.

Teil 2 folgt

Gruß,
Motor

#14 hattest du dial-fix schon agewendet ???

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://139.18.25.19"
"WUStatusServer"="http://139.18.25.19"
"TargetGroup"="Office"
"TargetGroupEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001

falls nein, wende es an + dann noch mal regstuff.
__________
MfG Sabina

rund um die PC-Sicherheit