|
Plagegeister aller Art und deren Bekämpfung: desktop befallenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.03.2005, 18:39 | #1 |
| desktop befallen hi, ich hab beimsurfen, die meldung bekommen, dass ich den Trojaner/small hääte und hab diesen dann gelöscht....nun hab ich aber einen anderen Hintergrund, mit der Meldung, dass mein pc befallen wär...bei rechtsklich, wird mir dann dieser pfad als hintergrund angezeigt: file://C:\WINDOWS\Web\desktop.html Ich hab dann von nem kumpel den "web"ordner bekommen und mein pc neugestartet, dann war der hintergrund (der trojaner) wieder da :-( kann mir jemand helfen ? EDIT: Und unter prozesse läuft noch ein "wowexec.exe", der etwas eingerückt ist |
01.03.2005, 18:44 | #2 |
| desktop befallen Hi,
__________________scanne DeinSystem mal mit eScan nach Beschreibung (siehe unten) Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: => Total Files Scanned: => Total Virus(es) Found: => Total Disinfected Files: => Total Files Renamed: => Total Deleted Files: => Total Errors: => Time Elapsed: => Virus Database Date: => Virus Database Count: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
__________________ |
01.03.2005, 19:24 | #3 |
| desktop befallen leider geht der downloadlink nicht...und ich find auch keinen :-(
__________________ |
01.03.2005, 19:31 | #4 | |
Administrator, a.D. | desktop befallen @ Fishbone Zitat:
Funktioniert der Link bei dir nicht oder hast du rechts oben die Download Mirror übersehen? Poste mal den Inhalt der hosts Datei (vorrausgesetzt -> Win XP): Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts -> OK Ebenso dies ausführen: Erstelle mit HiJackThis ein Log-File und poste es hier rein. Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen. |
01.03.2005, 19:40 | #5 |
| desktop befallenCode:
ATTFilter Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost Code:
ATTFilter eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp Die herunterzuladene Datei mwav.exe ist ca. 4,5 MB groß. Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 18:24:38, on 01.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\Programme\Winamp\Winamp.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Dokumente und Einstellungen\F1$hb0n3\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kwick.de/ O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
01.03.2005, 20:01 | #7 | ||
Administrator, a.D. | desktop befallenZitat:
Zitat:
|
01.03.2005, 20:16 | #8 |
| desktop befallen habs erst neu draufgemacht...und es gibt noch ein paar andere gründe |
01.03.2005, 20:27 | #9 |
| desktop befallen ich hab in der zwischenzeit Spybot S&D draufgemacht, der meinte, dass spoolsv32.exe irgendwas in meine regisrty schreiben wollte. Da hab ich dann auf verweigern gedrückt..aber mein hintergrund ist immernoch nicht richtig |
01.03.2005, 20:32 | #10 |
| desktop befallen @Fishbone was ist jetzt mit dem eScan Hast Du den Russenlink probiert? |
01.03.2005, 21:16 | #11 |
Administrator, a.D. | desktop befallen Es ist zwar äusserst sinnlos ein nicht gepatchtes System zu bereinigen, aber versuche dein Glück trotzdem. - Führe einen Fullscan im abgesicherten Modus mit aktualisiertem AntiVir aus. - Führe dies aus -> http://www.trojaner-board.de/showpos...59&postcount=7 Danach dies lesen -> http://www.trojaner-board.de/showthread.php?t=13150 http://www.mathematik.uni-marburg.de...ompromise.html http://faq.underflow.de/#SECTION000110000000000000000 |
01.03.2005, 21:39 | #12 |
| desktop befallen das 1ste hab ich schon gemacht...da war unter "web" so ein ding namen "security", dass hab ich dann gelöscht. nun hab ich wenigstens nen hintergrund wieda |
02.03.2005, 09:46 | #13 | |
| desktop befallenZitat:
Wo ein Wille ist, ist bekanntlich auch ein Gebüsch. Wenn du SP2 haben möchtest, bekommen wir das auch drauf! LG, Charlie
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
02.03.2005, 10:38 | #14 |
| desktop befallen @ Fishbone würde mich freuen wenn Du mal meine Frage beantwortest |
02.03.2005, 12:23 | #15 | |
| desktop befallenZitat:
@giga: Hab den scanner gestartet, hat sich dann aber aufgehängt. |
Themen zu desktop befallen |
andere, anderen, angezeigt, befallen, desktop, helfen, hintergrund, kumpel, meldung, ordner, prozesse, troja, web, windows |