hi erstma,

ich hab ne runde im internet gesurft und auf einmal änderte sich mein desktophintergrund. da is jetzt ein blaues bild, was behauptet ich solle eine software runterladen (www.spy-sheriff.com), was ich natürlich nicht mache. ich kann das hintergurnd bild nicht ändern, das gleiche im internet explorer (welchen ich nie benutze). außerdem sind einige .exe dateien auf meinem pc, die sich automatisch starten und dann immer verkünden, mein pc ist verseucht und ich solle dieses programm herunterladen.
ich hoffe ihr helft mir

mit freundlichen grüßen

tryb

@tryb

Bei HijachThis Log folgende beachten

http://www.trojaner-board.de/showthread.php?t=22770

#Lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.

#In der Systemsteuerung/software folgende falls vorhanden deinstallieren
SpyAxe

#Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.

#PC neustarten
#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#HijackThis Log und den Report des Ewido Scans,rapport.txt von SmitfraudFix und das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert

zu #1, das prog hab ich sogar scho, hier der logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:12:12, on 14.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\chatprogramme\ICQLite\ICQLite.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\YzShadow\YzShadow.exe
D:\Programme\Steganos Safe 8\SAFE8.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\WINDOWS\regedit.exe
D:\Programme\iTunes\iTunes.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Dokumente und Einstellungen\Meine-Name\Eigene Dateien\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = TK212017066196.teleweb.at:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\chatprogramme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\chatprogramme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] c:\chatprogramme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVPCC] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PayTime] D:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yz Shadow] D:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [SAFE8] "D:\Programme\Steganos Safe 8\SAFE8.exe" -boot
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] D:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\chatprogramme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Y-Clock.lnk = C:\Uhr\Y-Clock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\chatprogramme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\chatprogramme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\chatprogramme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {5965C249-A629-4516-8B5D-5B9730D61592} (ECP Launch Control) - http://portal.rushed.de/ecplaunch.cab?
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



zu #2:
nein ist nicht da


die andren sachen mach ich jetzt


*edit*

hier der smitfraudfic-rapport:

SmitFraudFix v1.94

Rapport fait à 21:18:22,63 le 14.11.2005
Executé à partir de D:\Dokumente und Einstellungen\Mein-Name\Eigene Dateien\Desktop\smitfraudfix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS

D:\WINDOWS\desktop.html PRESENT !
D:\WINDOWS\kl.exe PRESENT !
D:\WINDOWS\tool2.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32

D:\WINDOWS\system32\paytime.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Dokumente und Einstellungen\Mein-Name\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Dokumente und Einstellungen\Meine-Name\Desktop


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

ps: die tool2.exe hab ich über den registrierungseditor gesperrt, weiß aber nicht ob das 100% sicher ist...

@tryb

Ich warte auf andere Ergebnisse

Gruss
Expert