Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: destkop wird überdeckt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 04.07.2004, 17:21   #1
seki
 
destkop wird überdeckt - Standard

destkop wird überdeckt



Moin Leute

erstmal ein Lob für eure Site, gefällt mir wirklich gut und ist vor allem leicht verständlich

Nun zu meinem Problem : Vor einiger Zeit musste ich mit dem IE explorer die Active X Steuerelemente aktivieren, um etwas von fileplanet runterzuladen, ich habe das auch gemacht, nur habe ich sie danach nicht wieder deaktiviert.
Und nun obwohl eigentlich Opera mein Standard-Browser ist, war ich mal wieder mit dem IE unterwegs und Schwupps tausende Fenster öffnen sich und ich werde immer wieder aufgefordert irgendnen Müll runterzuladen . Natürlich habe ich nichts bestätigt, aber dennoch hat es wohl ein Programm geschafft sich einzuschmuggeln.
Nun ist folgendes passiert : Zwischem dem Destkop und den Symbolen, hat sich so ein hässliches Bild festgesetzt, dass als Art Link dient . Da steht der ganze bekannte Müll vonwegen "You're in danger" usw drauf . Klicke ich darauf, öffnet sich mit Opera eine Seite zu soner Antispy Software .
Mit Opera habe ich also sonst keine Probleme, anders wars mitm IE. Der hat gestern willkürlich eine Startseite festgelegt und mich auf ne Pornoseite verlinkt, als ich irgendeine Url eingegeben habe . Das Problem wurde jedoch schön gelöst, nachdem ich sämtliche Tools von eurer Seite ausprobiert habe .

Was allerdings geblieben ist, ist das schon beschriebene Fenster aufm Destkop(was wirklich nervig ist) und außerdem steht unter der Liste der installierten Software in Windows eine Ad&Spyware, die sich nicht deinstallieren lässt, stattdessen öffnet sich der IE wieder mit einer Seite zu einer Antispyware software .

Nun, ich habe jetzt Antivir durchlaufen lassen, der mittlerweile nichts mehr findet . Escan habe ich im abgesicherten Modus durchlaufen lassen, der hat einige Trojaner gefunden . Mein Hijackthis-Log habe ich auf http://www.hijackthis.de/index.php überprüfen lassen und die entsprechenden Einträge gefixt . Systemwiederherstellung wurde auch schon längst deaktiviert, aber diese scheiss Fenster aufm Destkop geht einfach nicht weg, mit jedem Neustart öffnet es sich .

Was sonst auch nicht stimmt : Mein Hijackthis-Log hatte eine Explorer.exe in Windows/System32 angezeigt . Laut dieser Url http://www.heise.de/security/artikel/print/44203 weisst das auf eine Variante von MyDoom hin . Ich habe daraufhin die explorer.exe in der Prozessliste gestoppt und die File manuell gelöscht . Antivir hat komischerweise kein Mydoom gefunden.

Jetzt bin ich mit meinem Latein am Ende und ich hoffe ihr könnt mir weiterhelfen, denn ich möchte ungerne meine Platte formatieren, ich habe nämlich ein Laptop und wie mir jemand sagte, ist es da mit der Neuinstallation nicht so einfach wie bei einem normalen Destkop Pc.

Hier nochmal mein Hijackthis-Log, vielleicht wisst ihr ja, was noch gefixt werden muss . Achja eine Frage noch : Was genau sind das eigentlich für Sachen, die Hijack scant ?

MfG

Logfile of HijackThis v1.98.0
Scan saved at 18:20:46, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\EzButton\CPLBTS88.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Wireless\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Dokumente und Einstellungen\bla\Eigene Dateien\hijackthis\HijackThis.exe
C:\Programme\Opera7\opera.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {33FE1B06-EA45-7DB5-8751-115579A52C19} - C:\WINDOWS\System32\gxebtxwc.dll
O2 - BHO: (no name) - {3CAD475A-EA43-7DEC-8751-115579A52C1B} - C:\WINDOWS\System32\pmrqe.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {6EAB1B06-EC41-7DE5-8751-115579A52C1B} - C:\WINDOWS\System32\kzq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Programme\Wireless\IEEE802.11b WLAN Card Utility\WLPCCfg.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_42.cab

Alt 06.07.2004, 07:54   #2
seki
 
destkop wird überdeckt - Standard

destkop wird überdeckt



so, vielleicht guckt ja nochmal jemand hier rein und kann mir bei folgendem Problem weiterhelfen :

Nachdem ich das oben genannte Bild über dem Destkop beseitigen konnte,
steht nur noch die Ad&Spyware Software in der Softwareliste, hinzu kommt die Analyse vom Spybot, der spuckt das hier aus :

Avenue A, Inc.: Verfolgender Cookie (Opera 7: bla) (Cookie, fixed)


DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)

HKEY_USERS\S-1-5-21-3761404097-1721288593-3197055479-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi

Allerdings sind diese Probleme, nach jedem neuen Durchlauf vom Spybot wieder da . Auch im abgesicherten Modus scheint er die nicht beheben zu können .

Hat sonst jemand einen Rat ?
__________________


Alt 06.07.2004, 14:58   #3
Cassandra
 
destkop wird überdeckt - Standard

destkop wird überdeckt



der dso-exploit ist in der form offenbar ein bug von spybotsd und wurde hier auch schon mehrfach angesprochen.

hier eine gute erklärung:
http://forums.net-integration.net/in...howtopic=15905
(link originally posted by *Christian* )

aber zur sicherheit kannst du ja auch mal mit adaware gegenscannen .


gruß,
Cassandra
__________________
__________________

Alt 08.07.2004, 08:28   #4
seki
 
destkop wird überdeckt - Standard

destkop wird überdeckt



Moin

ich habe noch folgendes problem :

diese drei einträge

O2 - BHO: (no name) - {33FE1B06-EA45-7DB5-8751-115579A52C19} - C:\WINDOWS\System32\gxebtxwc.dll
O2 - BHO: (no name) - {3CAD475A-EA43-7DEC-8751-115579A52C1B} - C:\WINDOWS\System32\pmrqe.dll
O2 - BHO: (no name) - {6EAB1B06-EC41-7DE5-8751-115579A52C1B} - C:\WINDOWS\System32\kzq.dll

lassen sich mit HijackThis nicht fixen . die logfileauswertung sagt, die programme seien unbekannt, daraufhin habe ich sie auf kaspersky prüfen lassen und sie scheinen clean zu sein . will ich sie aber fixen, erscheint ein error .

Alt 08.07.2004, 09:59   #5
paff
 
destkop wird überdeckt - Standard

destkop wird überdeckt



Zitat:
Zitat von seki
Moin

ich habe noch folgendes problem :

diese drei einträge

O2 - BHO: (no name) - {33FE1B06-EA45-7DB5-8751-115579A52C19} - C:\WINDOWS\System32\gxebtxwc.dll
O2 - BHO: (no name) - {3CAD475A-EA43-7DEC-8751-115579A52C1B} - C:\WINDOWS\System32\pmrqe.dll
O2 - BHO: (no name) - {6EAB1B06-EC41-7DE5-8751-115579A52C1B} - C:\WINDOWS\System32\kzq.dll

lassen sich mit HijackThis nicht fixen . die logfileauswertung sagt, die programme seien unbekannt, daraufhin habe ich sie auf kaspersky prüfen lassen und sie scheinen clean zu sein . will ich sie aber fixen, erscheint ein error .
Meldet HijackThis einen Error und wenn ja welchen ?????????

Gruß paff


Geändert von paff (08.07.2004 um 12:04 Uhr)

Alt 08.07.2004, 21:02   #6
seki
 
destkop wird überdeckt - Standard

destkop wird überdeckt



Hallo paff

Hijackthis sagt folgendes, wenn ich versuche, die genannten Einträge zu fixen:

An unexpected error has occurred at procedure: cmdFix_Click()
Error #75 - Path/File access error (25 items in results list)

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.98.0

This message has been copied to your clipboard.

Alt 08.07.2004, 21:36   #7
paff
 
destkop wird überdeckt - Standard

destkop wird überdeckt



@seki kannst du mir die 3 Dateien mal gezippt schicken
an mike_hangover@gozomail.com (Meine FakeEMail)

Zitat:
O2 - BHO: (no name) - {33FE1B06-EA45-7DB5-8751-115579A52C19} - C:\WINDOWS\System32\gxebtxwc.dll O2 - BHO: (no name) - {3CAD475A-EA43-7DEC-8751-115579A52C1B} - C:\WINDOWS\System32\pmrqe.dll O2 - BHO: (no name) - {6EAB1B06-EC41-7DE5-8751-115579A52C1B} - C:\WINDOWS\System32\kzq.dll
und teste Sie mal hier
http://www.rokop-security.de/main/onlinescan.php

Kaspersky kannst du auslassen

Leider ist die Version 1.98.0 von HijackThis etwas buggy, probier mal die Version v1.97.7 zu kriegen und dann die Einträge zu fixen.
Ich kann dir die Version auch schicken wenn du willst.


Gruß paff

Antwort

Themen zu destkop wird überdeckt
abgesicherten modus, adobe, antispyware, antivir, avg, bho, einstellungen, ellung, explorer, frage, hijack, ie explorer, immer wieder, internet, internet explorer, meinem, neustart, opera, outlook express, problem, programm, programme, rojaner gefunden, rundll, software, spyware, trojaner, trojaner gefunden, träge, userinit.exe, windows, windows xp, wlan, öffnet




Ähnliche Themen: destkop wird überdeckt


  1. GVU Trojaner - Start im abgesicherten Modus wird herunter gefahren - Laptop wird sofort gesperrt
    Log-Analyse und Auswertung - 20.07.2015 (13)
  2. TR/Rootkit.Gen2 - Virenscanner wird deaktiviert - Metasploit 7 wird im Startmenue aktiviert - 5mk1owasew99.exe
    Log-Analyse und Auswertung - 29.05.2015 (22)
  3. Safari Fenster öffnet ungewollt und überdeckt Mozilla
    Plagegeister aller Art und deren Bekämpfung - 25.10.2014 (14)
  4. Win7 wird immer langsamer und Norton wird ab und an doppelt autogestartet
    Log-Analyse und Auswertung - 17.10.2014 (9)
  5. Windows wird einfach beendet, Computer wird immer langsamer.....
    Log-Analyse und Auswertung - 21.04.2014 (5)
  6. Bildschirm wird weiß, Festplatte wird mit Reatogo-X-Pe nicht erkannt
    Plagegeister aller Art und deren Bekämpfung - 07.05.2013 (1)
  7. Ihr Internet Service Provider wird blockiert- bei Zahlung von 100 € wird dieser entsperrt
    Log-Analyse und Auswertung - 21.04.2013 (21)
  8. PC wird gesperrt wegen Verstoß - gegen Zahlung von 100 € wird die Sperrung aufgehoben
    Log-Analyse und Auswertung - 06.09.2012 (11)
  9. (2x) Ein weisser Hintergrund mit meldung anstaat destkop.
    Mülltonne - 12.04.2012 (1)
  10. größere Downloads brechen ab / Online Banking wird mit "Sicherheitsmaske" überdeckt
    Log-Analyse und Auswertung - 12.04.2012 (18)
  11. destkop leer (ausser Papierkorb), Startmenü leer, kein zugriff auf dateien - generic fakealert.bz?
    Log-Analyse und Auswertung - 27.03.2012 (1)
  12. Microsoft Security fordert 100 Euro - kein zugriff mehr auf Destkop
    Log-Analyse und Auswertung - 05.02.2012 (1)
  13. Java wird automatisch ausgeführt Virus wird geladen
    Log-Analyse und Auswertung - 05.07.2010 (5)
  14. Ebay Startseite wird nicht komplett angezeigt - was wird gefiltert?
    Antiviren-, Firewall- und andere Schutzprogramme - 07.06.2005 (6)
  15. wegen dem file:/windows destkop.... also dem security destkopelement
    Plagegeister aller Art und deren Bekämpfung - 04.02.2005 (13)
  16. Desktop überdeckt! Lösung!!!!
    Log-Analyse und Auswertung - 05.07.2004 (3)
  17. Desktopbild überdeckt
    Log-Analyse und Auswertung - 05.07.2004 (2)

Zum Thema destkop wird überdeckt - Moin Leute erstmal ein Lob für eure Site, gefällt mir wirklich gut und ist vor allem leicht verständlich Nun zu meinem Problem : Vor einiger Zeit musste ich mit dem - destkop wird überdeckt...
Archiv
Du betrachtest: destkop wird überdeckt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.