Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Hintergrundbild "Windows Warning Message"

Hintergrundbild "Windows Warning Message"


Log-Analyse und Auswertung: Hintergrundbild "Windows Warning Message"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.09.2008, 16:21   #1
DonTobente
 
Hintergrundbild "Windows Warning Message" - Standard

Hintergrundbild "Windows Warning Message"


Hallo zusammen,

plötzlich nach dem surfen erscheint als Hintergundbild "Windows Warning Message" mit " Spyware detected on your computer". Ich kann auch plötzlich das Hintergrundbild nicht mehr ändern. Reiter bei Anzeige Einstellungen fehlt komplett. Virescanner avast hat nicht gefunden. Sonst keine Systemeinschrenkungen. Hijackthis log hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:16, on 08.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\panapp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\system32\lphclk7j0ea91.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\Tobias Schöwel\Lokale Einstellungen\Temp\.tt15.tmp
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [lphclk7j0ea91] C:\WINDOWS\system32\lphclk7j0ea91.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

--
End of file - 9390 bytes

Danke und Gruß
DT

Alt 09.09.2008, 08:41   #2
undoreal
/// AVZ-Toolkit Guru
 
Hintergrundbild "Windows Warning Message" - Standard

Hintergrundbild "Windows Warning Message"


Halli hallo DonTobente

Dein System ist nicht aktuell und du hast dir wahrscheinlich einen Backdoor eingefangen. Ändere deine Surf Gewohnheiten und trenne den Rechner vom Netz!

Folge dieser Anleitung (Analyse und Bereinigung) und poste den rapport.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\WINDOWS\system32\lphclk7j0ea91.exe
C:\WINDOWS\system32\drivers\svchost.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________

__________________
Alt 09.09.2008, 16:00   #3
DonTobente
 
Hintergrundbild "Windows Warning Message" - Standard

Hintergrundbild "Windows Warning Message"


Das mit den Surfgewohnheiten wede ich weitergeben.

Anbei der Log.

SmitFraudFix v2.346

Scan done at 20:22:24,93, 08.09.2008
Run from C:\Dokumente und Einstellungen\Tobias *******\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
192.168.0.2 rechner2
192.168.0.1 rechner1

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\drivers\svchost.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer=192.168.120.252,192.168.120.253
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer=192.168.120.252,192.168.120.253
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer=192.168.120.252,192.168.120.253
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer=192.168.120.252,192.168.120.253


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
__________________
Geändert von DonTobente (09.09.2008 um 16:55 Uhr)

Alt 09.09.2008, 16:27   #4
DonTobente
 
Hintergrundbild "Windows Warning Message" - Standard

Hintergrundbild "Windows Warning Message"


svchost;

Die Datei wurde bereits analysiert:
MD5: 65a819b121eb6fdab4400ea42bdffe64
First received: 2007.06.16 12:47:36 (CET)
Datum 2008.06.03 20:36:20 (CET) [>97D]
Ergebnisse 1/32
Permalink: analisis/69ae15152b8158a271f14a70858a8f66

Datei svchost.exe empfangen 2008.06.03 20:36:20 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0
weitere Informationen
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3
SHA256: 1569ba783cec423f6d01f8aded247d60e17b14f7ade34f58c18b882ab7068bf5
SHA512: b07fc73c236bd312cb775731f1b1fd70820aaaff5f65a0f14bdd7dbedabca186cf291dca243aed39dcd9fb86ee766c58eae0c35f61df7a484ebc7a7da6f1435c

lphclk7j0ea91.exe
MD5: 02518e8011d1820b9fda851fc744bdfa
First received: 2008.09.05 01:32:38 (CET)
Datum 2008.09.09 11:41:00 (CET) [<1D]
Ergebnisse 17/36
Permalink: analisis/2d78b9f90f1f0de1aec3890f378350ab

Datei lphclk7j0ea91.exe empfangen 2008.09.09 17:22:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 19/35 (54.29%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.09 Win-Trojan/PEPatched.Gen
AntiVir 7.8.1.28 2008.09.09 TR/Spy.Frauder.dk
Authentium 5.1.0.4 2008.09.09 -
Avast 4.8.1195.0 2008.09.08 -
AVG 8.0.0.161 2008.09.09 Downloader.FraudLoad.AC
BitDefender 7.2 2008.09.09 Trojan.FakeAlert.AEB
CAT-QuickHeal 9.50 2008.09.06 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.09.09 -
DrWeb 4.44.0.09170 2008.09.09 -
eSafe 7.0.17.0 2008.09.09 Win32.Frauder.dk
eTrust-Vet 31.6.6080 2008.09.09 Win32/OnerawCryptorA!generic
Ewido 4.0 2008.09.09 -
F-Prot 4.4.4.56 2008.09.08 -
Fortinet 3.112.0.0 2008.09.09 W32/Frauder.DK!tr.bdr
GData 19 2008.09.09 Backdoor.Win32.Frauder.dk
Ikarus T3.1.1.34.0 2008.09.09 -
K7AntiVirus 7.10.448 2008.09.09 -
Kaspersky 7.0.0.125 2008.09.09 Backdoor.Win32.Frauder.dk
McAfee 5379 2008.09.08 Downloader-ASH.gen.b
Microsoft 1.3903 2008.09.09 TrojanDownloader:Win32/Renos.AS
NOD32v2 3428 2008.09.09 -
Norman 5.80.02 2008.09.08 W32/Tibs.gen234
Panda 9.0.0.4 2008.09.08 Adware/RogueAntimalware2008
PCTools 4.4.2.0 2008.09.09 -
Prevx1 V2 2008.09.09 Malicious Software
Rising 20.61.12.00 2008.09.09 -
Sophos 4.33.0 2008.09.09 Mal/EncPk-EU
Sunbelt 3.1.1616.1 2008.09.09 Backdoor.Win32.Frauder.dk
Symantec 10 2008.09.09 Adware.CWSIEFeats
TheHacker 6.3.0.8.075 2008.09.06 -
TrendMicro 8.700.0.1004 2008.09.09 -
VBA32 3.12.8.5 2008.09.09 -
ViRobot 2008.9.9.1369 2008.09.09 -
VirusBuster 4.5.11.0 2008.09.09 -
Webwasher-Gateway 6.6.2 2008.09.09 Trojan.Spy.Frauder.dk
weitere Informationen
File size: 203776 bytes
MD5...: 02518e8011d1820b9fda851fc744bdfa
SHA1..: 4759fc16e6656a93f85202292b1a593bc9347ee5
SHA256: 6e16fa0bfb0768332d234bdb6bc1fafe73e6445395561632766dc673d0f94f72
SHA512: 8c86957382cdb1dc900d4e9cd02d49400ff79ade57ea0856266eab25f9d3f16d
6ec43a3e60f29b69f329a5d061b8912661a03a6d47c4327116997786817c01d0
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4099f5
timedatestamp.....: 0x48a5befd (Fri Aug 15 17:38:05 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xec7d 0x9800 8.00 45869d95601175860526d39d787046ec
.rdata 0x10000 0x3dde 0x1a00 7.97 dbe35011f96b4335956c1b3379c28b7c
.data 0x14000 0xb65af 0x23600 8.00 ad3b02d85bc345b7f293a0f1b1f8f911
.rsrc 0xcb000 0xf000 0x3000 6.62 bac7143e8fffb2c7fad2efb85671d6bc

( 4 imports )
> gdi32.dll: SetRelAbs, StretchBlt, SetICMMode, ResetDCW, UpdateColors, SaveDC, TextOutW, SetDIBColorTable
> wsock32.dll: bind, WSAStartup, listen
> kernel32.dll: CreatePipe, TerminateProcess, VirtualProtect
> shell32.dll: SHAppBarMessage, StrRChrIA, StrStrIA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=25346046006BBC021CC203CA3FB82A00A6AE1D9D

Wie gehts weiter?

Gruß
DT

Alt 09.09.2008, 17:20   #5
DonTobente
 
Hintergrundbild "Windows Warning Message" - Standard

Hintergrundbild "Windows Warning Message"


Hallo,

hab Malwarebyte durchlaufen lassen und anschließend die auffälligen Dateien gelöscht.
Problem ist optisch nicht mehr vorhanden. Hintergrundbild "windows warning message" ist weg und lässt sich auch wieder ändern.
Soll ich noch was tun?

Anbei der Log:

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2

09.09.2008 18:07:45
mbam-log-2008-09-09 (18-07-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 123273
Laufzeit: 32 minute(s), 29 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 11
Infizierte Dateien: 21

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphclk7j0ea91.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\blphclk7j0ea91.scr (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\rhcgk7j0ea91 (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysrest.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclk7j0ea91 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91 (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\blphclk7j0ea91.scr (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxxl\Lokale Einstellungen\Temp\B.tmp (Backdoor.Rustock) -> No action taken.
C:\WINDOWS\system32\sysrest32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Anna xxxxx\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\lphclk7j0ea91.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phclk7j0ea91.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> No action taken.


Alt 10.09.2008, 08:12   #6
undoreal
/// AVZ-Toolkit Guru
 
Hintergrundbild "Windows Warning Message" - Standard

Hintergrundbild "Windows Warning Message"


Hast du die Anti-Malware Funde wirklich löschen lassen? Im log steht: no action taken.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Dopperlklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste danach ein frisches HJT log.
__________________
--> Hintergrundbild "Windows Warning Message"

Antwort

Themen zu Hintergrundbild "Windows Warning Message"
adobe, antivirus, askbar, avast, avast!, bho, computer, dll, drivers, einstellungen, excel, explorer, firefox, fritz!, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, log, mozilla, programme, rundll, senden, software, spyware, surfen, temp, windows, windows xp, windows\system32\drivers


« xupdate.exe | Profi-Hilfe bei HJT-Auswertung »


Ähnliche Themen: Hintergrundbild "Windows Warning Message"


  1. mehrere Kontakte bekommen eine Email "Hey! Important message", "js/js Mahtong"
    Log-Analyse und Auswertung - 20.02.2016 (51)
  2. Windows 10, Mail an eigene Kontakte mit "FW: new message"
    Plagegeister aller Art und deren Bekämpfung - 21.10.2015 (10)
  3. Mail Accounts Missbraucht - senden "Hey! Important message, please visit..."
    Plagegeister aller Art und deren Bekämpfung - 09.10.2015 (22)
  4. Free antivirus - "restore message" - Nachricht im Infobereich
    Antiviren-, Firewall- und andere Schutzprogramme - 18.02.2015 (16)
  5. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  6. "Warning! Windows may be infected" entfernen
    Anleitungen, FAQs & Links - 31.01.2014 (2)
  7. "Mail delivery failed: returning message to sender" bei web.de
    Log-Analyse und Auswertung - 28.01.2014 (1)
  8. Noch ein Fall von "Mail delivery failed: returning message to sender"
    Plagegeister aller Art und deren Bekämpfung - 10.10.2012 (2)
  9. Windows Warning Message
    Log-Analyse und Auswertung - 29.11.2008 (6)
  10. WIndows Warning Message
    Mülltonne - 14.09.2008 (0)
  11. Windows Warning Message Spyware fighter?
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (1)
  12. Windows Warning Message "Spywar detected on your computer" + Win32/Adware.Virtumonde
    Log-Analyse und Auswertung - 11.09.2008 (14)
  13. "windows warning message", VBS.Agent.1002....?
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (18)
  14. Antivirus XP 2008 + Windows Warning Message
    Plagegeister aller Art und deren Bekämpfung - 29.08.2008 (10)
  15. Trojanisches Pferd, Antivir hilft nicht + Windows Warning-Message
    Plagegeister aller Art und deren Bekämpfung - 26.08.2008 (1)
  16. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)
  17. "Warning! Windows has detected SPYWARE INSTALLED on your computer"----> HILFE!!! =(
    Log-Analyse und Auswertung - 14.12.2004 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hintergrundbild "Windows Warning Message" - Hallo zusammen, plötzlich nach dem surfen erscheint als Hintergundbild "Windows Warning Message" mit " Spyware detected on your computer". Ich kann auch plötzlich das Hintergrundbild nicht mehr ändern. Reiter bei - Hintergrundbild "Windows Warning Message"...
Archiv
Du betrachtest: Hintergrundbild "Windows Warning Message" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131