Hallo zusammen,

habe mir gestern einen Virus eingefangen, der meinen PC zeimlich stark beeinflusst hat. Der Virus war so ein Antispyware Ding, beim dem man aufgefordert wird 49 € zu zahlen.
Habe mit Malewarebytes gearbeitet, um die Eingriffe des Virus zu entfernen.
Funktioniert auch wieder alles, bis auf den Desktophintergrund. Den kann ich nicht mehr ändern, er bleibt immer weiß.
Vielleicht kann mir jemand helfen, damit ich das System nicht erneuern muss.

Im Anhang sende ich mal die logfile von HiJackthis.

Grüße crissixx

Hallo und

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Lass bitte dein System mit Malwarebytes sowie SUPERAntiSpyware prüfen und lösche alles gefundene.
Poste bitte die Logs in Code Tags hierher, das ist die Rautetaste # in der Antwortbox und sollte so aussehen

HTML-Code:

[CODE] Logfile [/CODE]

Erstelle und poste bitte auch ein frisches HijackThis Log, dann sehen wir weiter.

MFG

Hallo, ich habe alle datein anzeigen lassen und die beiden Programme scannen lassen. Malewarebytes hat nichts gefunden, Supereantispy hat irgendwelche cookies entdeckt, da stand adware. Ich hoffe das hilft, und ihr könnt daraus was ableiten, das mir hilft. Hoffe ich habe das mit dem code einfügen und der #.Taste richtig verstanden.

Vielen dank im vorraus.
Grüße crissixx

_________________________________________________________________

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1166
Windows 5.1.2600 Service Pack 2

21.09.2008 14:41:51
mbam-log-2008-09-21 (14-41-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 59455
Laufzeit: 15 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

__________________________________________________________

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/21/2008 at 01:11 PM

Application Version : 4.21.1004

Core Rules Database Version : 3575
Trace Rules Database Version: 1563

Scan type       : Complete Scan
Total Scan Time : 00:12:42

Memory items scanned      : 498
Memory threats detected   : 0
Registry items scanned    : 3701
Registry threats detected : 0
File items scanned        : 9512
File threats detected     : 35

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\criss\Cookies\criss@ads2.net2day[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@advertising[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@tradedoubler[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@adopt.euroclick[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@sales.liveperson[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@ad.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@tacoda[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@indextools[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@adtech[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@zanox[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@msnportal.112.2o7[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@tracking.3gnet[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@www.usenext[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@tracking.quisma[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@ads3.net2day[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@ads.net2day[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@OS[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@forum.usenext[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@komtrack[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@apmebf[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@user[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@2o7[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@questionmarket[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@www.etracker[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@statse.webtrendslive[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@www.pornhub[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@wmvmedialease[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@mediaplex[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@hitbox[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@atwola[2].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@atdmt[1].txt
	C:\Dokumente und Einstellungen\criss\Cookies\criss@pornhub[1].txt
         

Habe hijack vergessen.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:42, on 21.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\EDIMAX\Common\RaUI.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Wireless Utility.lnk = C:\Programme\EDIMAX\Common\RaUI.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O24 - Desktop Component 0: Privacy Protection - (no file)

--
End of file - 4801 bytes
         

Hallo

starte bitte HijackThis mit der Option - Scan - und hake diesen Eintrag an

Zitat:

O24 - Desktop Component 0: Privacy Protection - (no file)

klicke nun auf - fix checked - und beende Hijackthis.
Kontrolliere bitte nach einem Neustart ob der Eintrag dauerhaft verschwunden bleibt und ob sich dein Hintergrund nun wieder ändern lässt.

Ich denke, du solltest, auch über eine neuere Version des Acrobat Readers nachdenken, alte Version deinstallieren und neue von hier runterladen
Adobe - Adobe Reader herunterladen - Alle Versionen
gleiches würde ich fürs OpenOffice sowie für Java vorschlagen.
de: OpenOffice.org: Startseite (deutsch)
Download der Java-Software von Sun Microsystems

MFG

Jo, der Eintrag ist weg und mein Hintergrund lässt sich auch wieder bearbeiten.
Damit müsste dann doch alles von dem Virus entfernt sein, oder ?
Die erwähnten Programme werde ich mal aktualisieren.
Ansonsten herzlichen Dank für die Mühe.
Grüße crissixx

Hallo

Zitat:

Jo, der Eintrag ist weg und mein Hintergrund lässt sich auch wieder bearbeiten.
Damit müsste dann doch alles von dem Virus entfernt sein, oder ?

Ich denke schon

Zitat:

Die erwähnten Programme werde ich mal aktualisieren.

Gut, in dem Zuge kannst du auch gleich diese Seite mit dem InternetExplorer besuchen und dein System updaten
Microsoft Windows Update

Zitat:

Ansonsten herzlichen Dank für die Mühe.

Bitte gern

MFG