Hallo, habe das Microsoft Anti Spayware + Ad-Aware SE Personal Prog auf meinen PC, heute ist
trotzdem irgendetwas auf meinen PC gekommen, mein Desktop Hintergrund
ist ganz grellblau und in der Mitte hat es eine Warnung "Spyware
Infection" mein Virenschutzprogramm hat allerhand gefunden und es
versucht sich auch etwas mit den Internet zu verbinden :-(

Nachdem ich eine Stunde verschieden Virenschutzprogramme etc. laufen
habe lassen ist jetzt zwar Ruhe, aber die Warnung auf den Desktop ist
noch immer da und bekomme beim Start des IE immer eine Meldung
"C:\DOKUME~1\zante~1\LOKALE~1\TEMP\1.TMP
Ist das Trojanische Pferd TR/Small.GA.7"

Auch den Hintergrund kann ich nicht ändern, es lässt sich kein anderer
Hintergrund auswählen.
Habe w2000sp4

Das war in der Log Datei:

SEARCHCLICK
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Process : C:\WINNT\system32\sysxh32.exe

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[1]=Regkey : clsid\{676575dd-4d46-911d-8037-9b10d6ee8bb5}

ALEXA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=Regkey : software\microsoft\internet
explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
obj[3]=RegValue : software\microsoft\internet
explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
"MenuStatusBar"
obj[4]=RegValue : software\microsoft\internet
explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Script"
obj[5]=RegValue : software\microsoft\internet
explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "clsid"
obj[6]=RegValue : software\microsoft\internet
explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Icon"
obj[7]=RegValue : software\microsoft\internet
explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "HotIcon"
obj[8]=RegValue : software\microsoft\internet
explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "ButtonText"
obj[9]=RegValue :
S-1-5-21-1482476501-838170752-839522115-1000\software\microsoft\interne
t explorer\extensions\cmdmapping
"{c95fe080-8f5d-11d2-a20b-00aa003c157a}"

Da ich schon etwas im Forum mitgelesen habe, habe ich auch das Prog.
SpSeHjfix112 und startdreck217 runtergeladen und laufen gelassen.

Hier die Log:


(16.11.05 08:42:06) SPSeHjFix started v1.1.2
(16.11.05 08:42:06) OS: Win2000 Service Pack 4 (5.0.2195)
(16.11.05 08:42:06) Language: deutsch
(16.11.05 08:42:06) Win-Path: C:\WINNT
(16.11.05 08:42:06) System-Path: C:\WINNT\system32
(16.11.05 08:42:06) Temp-Path: C:\DOKUME~1\zante~1\LOKALE~1\Temp\
(16.11.05 08:42:17) Disinfection started
(16.11.05 08:42:17) Bad-Dll(IEP): c:\winnt\hlhnf.dll
(16.11.05 08:42:17) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:42:17) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:42:17) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\hlhnf.dll/sp.html#17702
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\hlhnf.dll/sp.html#17702
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\hlhnf.dll/sp.html#17702
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\hlhnf.dll/sp.html#17702
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\winnt\hlhnf.dll/sp.html#17702
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\hlhnf.dll/sp.html#17702
(16.11.05 08:42:17) Stealth-String not found
(16.11.05 08:42:17) No locked Files to delete. End without Reboot
(16.11.05 08:42:34) Disinfection started
(16.11.05 08:42:34) Bad-Dll(IEP): c:\winnt\hlhnf.dll
(16.11.05 08:42:34) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:42:34) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:42:34) Bad IE-pages: (none)
(16.11.05 08:42:34) Stealth-String not found
(16.11.05 08:42:34) No locked Files to delete. End without Reboot
(16.11.05 08:50:10) Disinfection started
(16.11.05 08:50:10) Bad-Dll(IEP): c:\winnt\hlhnf.dll
(16.11.05 08:50:10) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:50:10) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:50:10) Bad IE-pages: (none)
(16.11.05 08:50:10) Stealth-String not found
(16.11.05 08:50:10) No locked Files to delete. End without Reboot
(16.11.05 08:50:13) Disinfection started
(16.11.05 08:50:13) Bad-Dll(IEP): c:\winnt\hlhnf.dll
(16.11.05 08:50:13) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:50:13) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:50:13) Bad IE-pages: (none)
(16.11.05 08:50:13) Stealth-String not found
(16.11.05 08:50:13) No locked Files to delete. End without Reboot


(16.11.05 08:50:49) SPSeHjFix started v1.1.2
(16.11.05 08:50:49) OS: Win2000 Service Pack 4 (5.0.2195)
(16.11.05 08:50:49) Language: deutsch
(16.11.05 08:50:49) Win-Path: C:\WINNT
(16.11.05 08:50:49) System-Path: C:\WINNT\system32
(16.11.05 08:50:49) Temp-Path: C:\DOKUME~1\zante~1\LOKALE~1\Temp\
(16.11.05 08:50:50) Disinfection started
(16.11.05 08:50:50) Bad-Dll(IEP): (not found)
(16.11.05 08:50:50) Bad-Dll(IEP) in BHO: (not found)
(16.11.05 08:50:50) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:50:50) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:50:50) Bad IE-pages: (none)
(16.11.05 08:50:50) Stealth-String not found
(16.11.05 08:50:50) Not infected->END


(16.11.05 08:56:50) SPSeHjFix started v1.1.2
(16.11.05 08:56:50) OS: Win2000 Service Pack 4 (5.0.2195)
(16.11.05 08:56:50) Language: deutsch
(16.11.05 08:56:50) Win-Path: C:\WINNT
(16.11.05 08:56:50) System-Path: C:\WINNT\system32
(16.11.05 08:56:50) Temp-Path: C:\DOKUME~1\zante~1\LOKALE~1\Temp\
(16.11.05 08:56:53) Disinfection started
(16.11.05 08:56:53) Bad-Dll(IEP): (not found)
(16.11.05 08:56:53) Bad-Dll(IEP) in BHO: (not found)
(16.11.05 08:56:53) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:56:53) UBF: 5 - UBB: 2 - UBR: 24
(16.11.05 08:56:53) Bad IE-pages: (none)
(16.11.05 08:56:53) Stealth-String not found
(16.11.05 08:56:53) Not infected->END

StartDreck:
StartDreck (build 2.1.7 public stable) - 2005-11-16 @ 09:04:52 (GMT +01:00)
Platform: Windows 2000 (Win NT 5.0.2195 Service Pack 4)
Internet Explorer: 6.0.2800.1106Logged in as Stefan Hammer at STEFAN-97CA6522

»Registry
»Run Keys
»Current User
»Run
*internat.exe=internat.exe
*euroat.exe=C:\Programme\Alpenland\Euro + @\euroat.exe
*WrCtrl="C:\Programme\Kerio\WinRoute Firewall\wrctrl.exe"
*RSD_HDDThermo=C:\Programme\HDD Thermometer\HDD Thermometer.exe
*Skype="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
»RunOnce
»Default User
»Run
*internat.exe=internat.exe
»RunOnce
*^SetupICWDesktop=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
»Local Machine
»Run
*Synchronization Manager=mobsync.exe /logon
*NvCplDaemon=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
*Easy-PrintToolBox=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
*SpeedTouch USB Diagnostics="D:\Programme\Dragdiag.exe" /icon
*gcasServ="C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
*AVGCtrl="C:\Programme\AVPersonal\AVGNT.EXE" /min
*EM_EXEC=C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
*TrueImageMonitor.exe=C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
*Acronis Scheduler2 Service="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
*MAF-Recovery=
*SunJavaUpdateSched=C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
*SoundMan=SOUNDMAN.EXE
*Babylon Client=C:\Programme\Babylon\Babylon.exe -AutoStart
*eBayToolbar=C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
*3A.tmp=C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\3A.tmp.exe
*3B.tmp=C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\3B.tmp.exe
*sysxh32.exe=C:\WINNT\system32\sysxh32.exe
*3B.tmp.exe=C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\3B.tmp.exe
*3A.tmp.exe=C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\3A.tmp.exe
*msup.exe=C:\WINNT\system32\msup.exe
*SpyHunter=
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINNT\system32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=C:\WINNT\system32\WScript.exe "%1" %*
+.jse
*JSEFile=C:\WINNT\system32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\WINNT\system32\WScript.exe "%1" %*
+.vbe
*VBEFile=C:\WINNT\system32\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\WINNT\system32\WScript.exe "%1" %*
+.wsf
*WSFFile=C:\WINNT\system32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*eBay Toolbar Helper/{22D8E815-4A5E-4DFB-845E-AAB64207F5BD}
`InprocServer32=C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
*Google Toolbar Helper/{AA58ED58-01DD-4d91-8333-CF10577473F7}
`InprocServer32=c:\programme\google\googletoolbar2.dll
*Class/{EB224D69-D255-3E4F-7DBE-5E411BE3994F}
`InprocServer32=C:\WINNT\sdkcj.dll
»Files
»Autostart Folders
»Current User
*C:\Dokumente und Einstellungen\zante\Startmenü\Programme\Autostart\Sat_speed.lnk
»Default User
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINNT\system32\config.nt
*C:\autoexec.bat
*C:\WINNT\system32\autoexec.nt
»System/Drivers
»Running Processes
+0=<idle>
+8=<system>
+332=\SystemRoot\System32\smss.exe
+360=\??\C:\WINNT\system32\csrss.exe
+380=\??\C:\WINNT\system32\winlogon.exe
+408=C:\WINNT\system32\services.exe
+420=C:\WINNT\system32\lsass.exe
+596=C:\WINNT\system32\svchost.exe
+628=C:\WINNT\system32\spoolsv.exe
+656=C:\WINNT\winzr.exe
+672=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
+692=C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
+704=C:\Programme\AVPersonal\AVWUPSRV.EXE
+724=C:\WINNT\system32\svchost.exe
+780=C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
+872=C:\WINNT\system32\regsvc.exe
+896=C:\WINNT\system32\MSTask.exe
+848=C:\WINNT\System32\WBEM\WinMgmt.exe
+964=C:\Programme\Kerio\WinRoute Firewall\winroute.exe
+988=C:\WINNT\system32\svchost.exe
+1256=C:\WINNT\Explorer.EXE
+1444=C:\Programme\Microsoft AntiSpyware\gcasServ.exe
+1384=C:\Programme\AVPersonal\AVGNT.EXE
+1460=C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
+1488=C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
+1508=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
+1536=C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
+1540=C:\WINNT\SOUNDMAN.EXE
+1584=C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
+1596=C:\Programme\Babylon\Babylon.exe
+1640=C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
+1616=C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\3A.tmp.exe
+1196=C:\WINNT\system32\msup.exe
+812=C:\WINNT\system32\internat.exe
+1372=C:\Programme\Alpenland\Euro + @\euroat.exe
+1652=C:\Programme\Kerio\WinRoute Firewall\wrctrl.exe
+1676=C:\Programme\HDD Thermometer\HDD Thermometer.exe
+1688=C:\Programme\Skype\Phone\Skype.exe
+1708=C:\Programme\Microsoft Office\Office\1031\msoffice.exe
+1732=C:\Programme\Microsoft Office\Office\WINWORD.EXE
+1464=C:\Programme\Internet Explorer\IEXPLORE.EXE
+1172=C:\Dokumente und Einstellungen\zante\Desktop\Test\SpSeHjfix112\2.startdreck217\startdreck217\StartDreck.exe
»NT Services
*Remote Procedure Call (RPC) Helper 11Fßä#·ºÄÖ`I running auto
*Acronis Scheduler2 Service AcrSch2Svc running auto
*Warndienst Alerter - on demand
*AntiVir Service AntiVirService running auto
*Anwendungsverwaltung AppMgmt - on demand
*AntiVir Update AVWUpSrv running auto
*Intelligenter Hintergrundübertragungsdienst BITS - on demand
*Computerbrowser Browser running auto
*Indexdienst cisvc - disabled
*Ablagemappe ClipSrv - on demand
*DHCP-Client Dhcp running auto
*Verwaltungsdienst für die Verwaltung logischer dmadmin - on demand
`Datenträger
*Verwaltung logischer Datenträger dmserver running auto
*DNS-Client Dnscache running auto
*Ereignisprotokoll Eventlog running auto
*COM+-Ereignissystem EventSystem running on demand
*Faxdienst Fax - on demand
*Server lanmanserver running auto
*Arbeitsstationsdienst lanmanworkstation running auto
*TCP/IP-NetBIOS-Hilfsprogramm LmHosts running auto
*Machine Debug Manager MDM running auto
*Nachrichtendienst Messenger running auto
*NetMeeting-Remotedesktop-Freigabe mnmsrvc - on demand
*Distributed Transaction Coordinator MSDTC - on demand
*Windows Installer MSIServer - on demand
*Netzwerk-DDE-Dienst NetDDE - on demand
*Netzwerk-DDE-Serverdienst NetDDEdsdm - on demand
*Anmeldedienst Netlogon - on demand
*Netzwerkverbindungen Netman running on demand
*NT-LM-Sicherheitsdienst NtLmSsp running on demand
*Wechselmedien NtmsSvc running auto
*Office Source Engine ose - on demand
*Plug & Play PlugPlay running auto
*IPSEC-Richtlinienagent PolicyAgent running auto
*Geschützter Speicher ProtectedStorage running auto
*Verwaltung für automatische RAS-Verbindung RasAuto - on demand
*RAS-Verbindungsverwaltung RasMan running on demand
*Routing und RAS RemoteAccess - disabled
*Remote-Registrierungsdienst RemoteRegistry running auto
*RPC-Locator RpcLocator - on demand
*Remoteprozeduraufruf (RPC) RpcSs running auto
*QoS RSVP RSVP - on demand
*Sicherheitskontenverwaltung SamSs running auto
*Smartcard-Hilfsprogramm SCardDrv - on demand
*Smartcard SCardSvr - on demand
*Taskplaner Schedule running auto
*Dienst "Ausführen als" seclogon running auto
*Systemereignisbenachrichtigung SENS running auto
*Gemeinsame Nutzung der Internetverbindung SharedAccess - on demand
*Druckwarteschlange Spooler running auto
*Leistungsdatenprotokolle und Warnungen SysmonLog - on demand
*Telefonie TapiSrv running on demand
*Telnet TlntSvr - on demand
*Überwachung verteilter Verknüpfungen (Client) TrkWks running auto
*Unterbrechungsfreie Spannungsversorgung UPS - on demand
*Hilfsprogramm-Manager UtilMan - on demand
*Windows-Zeitgeber W32Time - on demand
*Windows-Verwaltungsinstrumentation WinMgmt running auto
*Kerio WinRoute Firewall WinRoute running auto
*Portable Media Serial Number Service WmdmPmSN - on demand
*Windows-Verwaltungsinstrumentations-Treibererwe Wmi running on demand
`iterungen
*Automatische Updates wuauserv running auto
*Drahtloskonfiguration WZCSVC - on demand
»Application specific



Kann mir da bitte weiterhelfen?
zante

Hallo, also das Problem mit den Desktop ist erledigt, habe mich durch die ganzen Tipps und angaben durchgeackert und jetzt ist fast alles.
Ein Problem habe ich noch, ich beginne ein neues Posting

servus

also das gleiche problem hatte ich auch, hatte jedoch auch noch so ne warnmeldung rechts unten in der leiste (nen roten kreis mit weißem x) mit spyware infection.
habe mehrmals bitdefender sowie ad-aware drüberlaufen lassen, und jetzt kann ich wenigstens den desktophintergrund wieder ändern. auch der kleine kreis ist jetzt weg, aber meine icons auf dem desktop sin wie markiert (mit so ner blauen umrandung) geht auch nich weg wenn ich neue erstelle. bei bedarf kann ich nen screen posten. hier erstmal mein log



Logfile of HijackThis v1.99.1
Scan saved at 15:08:25, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE
C:\Programme\RivaTuner v2.0 RC 15.4\RivaTuner.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\GigaByte\VGA Utility Manager\G-vga.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.0 RC 15.4\RivaTuner.exe" /T
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-vga.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: The Matrix_ Path of Neo Registration.lnk = C:\Dokumente und Einstellungen\Mirko\Lokale Einstellungen\Temp\{7A48F518-6D08-4E38-BE0B-A44D41C7F49E}\{E571E8B1-9771-465D-9DE0-3BA2D1BDAE99}\ATR1.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


wenn irgendwas mit meinem post nicht stimmt, bitte melden. *ist.mein.erster*

@mirko89

#In der Systemsteuerung/software folgende falls vorhanden deinstallieren
SpyAxe

#Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.

#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - Startup: The Matrix_ Path of Neo Registration.lnk = C:\Dokumente und Einstellungen\Mirko\Lokale Einstellungen\Temp\{7A48F518-6D08-4E38-BE0B-A44D41C7F49E}\{E571E8B1-9771-465D-9D E0-3BA2D1BDAE99}\ATR1.exe

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
C:\secure32.html
C:\winstall.exe
C:\WINDOWS\system32\paytime.exe
C:\Programme\Spyaxe
C:\Dokumente und Einstellungen\Mirko\Lokale Einstellungen\Temp\{7A48F518-6D08-4E38-BE0B-A44D41C7F49E}\{E571E8B1-9771-465D-9D E0-3BA2D1BDAE99}\ATR1.exe

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Code: Alles auswählenAufklappen

ATTFilter

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3F245C2A-1558-3CCA-04A8-7AA23B60E40F}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
"Wallpaper"=-

[-HKEY_CURRENT_USER\Software\Classes\CLSID\{3F245C2A-1558-3CCA-04A8-7AA23B60E40F}]
         

3. Speichere die Datei als Fix.reg auf Desktop
4.Doppel klick auf diese Datei Fix.reg

#Neue HijackThis Log,den Report des Ewido Scans,rapport.txt von SmitfraudFix & auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert

also
der ewido-scan is zu lang und zu groß zum anhängen. bei interesse lad ich den mal auf meinem webspace. im mim funtz alles
EDIT
kacke. kann den hintergrund immernoch nicht ändern. is einfach blau

danke füpr die hilfe

Zitat:

Zitat von mirko89

kacke. kann den hintergrund immernoch nicht ändern. is einfach blau

Die Datei Fix.reg schon ausgeführt?

Gruss
Expert

ja hab ich jetzt zum 2. mal gemacht.

vorher war jedoch auch bei dem HijackThis was anderes als du geschrieben hast.

da haben nen paar einträge gefehlt. von den ganzen konnte ich nur nen paar finden


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - Startup: The Matrix_ Path of Neo Registration.lnk = C:\Dokumente und Einstellungen\Mirko\Lokale Einstellungen\Temp\{7A48F518-6D08-4E38-BE0B-A44D41C7F49E}\{E571E8B1-9771-465D-9D E0-3BA2D1BDAE99}\ATR1.exe

die hier alle nicht

hat das vllt. was damit zu tun?

@mirko89

Versuche mal unter Start/Einstellungen/Systemsteuerung/System/Desktop hintergrung bild zu ändern,wenn nicht geht wieder melden

Gruss
Expert

ixh finde nich was du meinst.

Start/Einstellungen/Systemsteuerung/System/Desktop
gibt bei mir nich. bei system gibt es keine registerkarte die dekstop heisst.
normalerweise änder ich den dekstop so,dass ich rechtsklick auf den dekstop mache, eigenschaften---destkop gehe.

vergessen zu sagen.
ich hab windows XP prof.
bei der systemsteuerung hab ich die klassische ansicht. aber ich konnte auch ber der normalen XP ansicht nichts dergleichen finden

Zitat:

Zitat von mirko89

Start/Einstellungen/Systemsteuerung/System/Desktop
gibt bei mir nich. bei system gibt es keine registerkarte die dekstop heisst.
normalerweise änder ich den dekstop so,dass ich rechtsklick auf den dekstop mache, eigenschaften---destkop gehe.

Das ist ist egal,kannst du auch per rechtsklick machen,funktioniert?
Normalerweise,wenn du die Fix.reg datei gut ausgeführ hast,sollte funktionieren!Naja

#Lade dir smitfraud.reg Datei (Rechtsklick - Ziel speichern unter)
smitfraud.reg und speichere sie auf dem Desktop.
Smitfraud.reg mit rechts anklicken und Zusammenführen wählen.(Im abgesicherter Modus ausführen)

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

@ECHO OFF
attrib -s -r -h C:\WINDOWS\sites.ini
attrib -s -r -h C:\WINDOWS\desktop.html
attrib -s -r -h C:\WINDOWS\screen.html
attrib -s -r -h C:\WINDOWS\zloader3.exe
attrib -s -r -h C:\WINDOWS\popuper.exe
attrib -s -r -h C:\WINDOWS\system32\msmsgs.exe
attrib -s -r -h C:\WINDOWS\system32\shnlog.exe
attrib -s -r -h C:\WINDOWS\System32\msmsgs.exe
attrib -s -r -h C:\WINDOWS\System32\msole32.exe
attrib -s -r -h C:\WINDOWS\System32\shnlog.exe
attrib -s -r -h C:\WINDOWS\System32\intmon.exe
attrib -s -r -h C:\WINDOWS\System32\intmonp.exe
attrib -s -r -h C:\WINDOWS\System32\svcnet.exe
attrib -s -r -h c:\windows\system32\wldr.dll
attrib -s -r -h C:\WINDOWS\system32\ole32vbs.exe
attrib -s -r -h C:\WINDOWS\system32\hhk.dll
attrib -s -r -h C:\WINDOWS\System32\helper.exe
attrib -s -r -h C:\WINDOWS\System32\winnook.exe
attrib -s -r -h C:\WINDOWS\system32\oleadm.dll
attrib -s -r -h C:\WINDOWS\system32\oleadm32.dll
attrib -s -r -h c:\wp.exe
attrib -s -r -h c:\bsw.exe
attrib -s -r -h c:\bsw.bmp
attrib -s -r -h c:\wp.bm
del C:\WINDOWS\sites.ini
del C:\WINDOWS\desktop.html
del C:\WINDOWS\screen.html
del C:\WINDOWS\zloader3.exe
del C:\WINDOWS\popuper.exe
del C:\WINDOWS\system32\msmsgs.exe
del C:\WINDOWS\system32\shnlog.exe
del C:\WINDOWS\System32\msmsgs.exe
del C:\WINDOWS\System32\msole32.exe
del C:\WINDOWS\System32\shnlog.exe
del C:\WINDOWS\System32\intmon.exe
del C:\WINDOWS\System32\intmonp.exe
del C:\WINDOWS\System32\svcnet.exe
del c:\windows\system32\wldr.dll
del C:\WINDOWS\system32\ole32vbs.exe
del C:\WINDOWS\system32\hhk.dll
del C:\WINDOWS\System32\helper.exe
del C:\WINDOWS\System32\winnook.exe
del C:\WINDOWS\system32\oleadm.dll
del C:\WINDOWS\system32\oleadm32.dll
del c:\wp.exe
del c:\bsw.exe
del c:\bsw.bmp
del c:\wp.bm
exit

3. Speichere die Datei als Rem.bat auf Desktop
4. Doppel klick auf diese Datei Rem.bat

#PC neustarten
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}"=-

[-HKEY_CURRENT_USER\Software\Classes\CLSID\{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng]

3. Speichere die Datei als Fix.reg auf Desktop
4. Doppel klick auf diese Datei Fix.reg

Geht auf Start Systemsteuerung --> Anzeige --> Desktop --> Desktop anpassen --> Web und entfernt da falls vorhanden in der Liste Security

Gruss
Expert

hab ich alles im abgesicherten modus gemacht. kann den hintergrund immernoch nicht ändern.

aber trozdem erstmal danke für die hilfe

Zitat:

Zitat von mirko89

hab ich alles im abgesicherten modus gemacht. kann den hintergrund immernoch nicht ändern.

aber trozdem erstmal danke für die hilfe

Bekommst du die Fehlermeldung oder wie? mit rechtsklick/Eingenschaften/Desktop ?

Gruss
Expert

ne. ich kann das einfach nich auswählen. hab mal nen bild angehängt

@mirko89

Gut
Melde mich später,muß jetzt andere User helfen

Gruss
Expert