halloooo,

ich habs endlich hinter mir... alle trojaner sind weck

hier ist mein hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:30:55, on 20.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\Hi Jack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe


bei MWAV hab ich nur noch...


Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
83558:Wed Apr 20 16:13:24 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
98974:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
98978:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
98990:Wed Apr 20 16:41:12 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
99158:Wed Apr 20 16:42:08 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
137130:Wed Apr 20 17:59:40 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


jetzt kann ich die Systemwiederherstellung wieder aktivieren oder !?


Das einzige was jetzt noch fehlt... weswegen ich eigentlich hier war/bin...
ist dieses verdammte "desktop.html"

Ich hatte dieses problem schon mal auf meinem alten rechner mit Win2000pro SP4 und der trick mit:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

hat damals funktioniert !!!

Aber jetzt klappts einfach nicht.. wenn ich jetzt die taskleiste auf automatisch ausblenden setze... und auf meinen desktop schaue dann ist sie zwar ausgeblendet aber von meinem alten desktop kann ich trotzdem nichts sehen, nicht mal einen kleinen teil !?!?!?

außerdem kommt noch hinzu... das ich unter den "Eigenschaften für Anzeige" nur noch die Register >>> "Bildschirmschoner und Einstellungen" zur Auswahl stehen habe !?!?!? von desktop oder web ist da nichts zu sehen ???

was mache ich falsch ... woran kann das liegen ????



bis bald

lg

leandro


P.S.: mir ist aufgefallen das meinen antiviren prog. & firewall nicht mehr automatisch gestartet werden ? und ändern kann ich das auch nicht ?
da muss noch irgendwas faul sein ?

Dein Logfile sieht jetzt sauber aus. Du solltest aber noch den IE updaten. IE nur noch für Windowsupdates verwenden, aber die regelmäßig durchführen.Benutze in Zukunft alternative Browser wie z. B.
http://filepony.de/download-opera/
http://www.mozilla.org/

Funde für "tagged" sind nicht gefährlich.
Für die Desktopgeschichte probiere mal noch folgendes:
START>Einstellungen>Systemsteuerung>Anzeige>Desktop>ganz unten "Desktop anpassen" anklicken>dann auf Web
dort "Security" markieren und dann auf löschen klicken.

da Du schon verschiedene Dateien vorher gelöscht hast kann ich nicht sagen obe vielleicht Systemdateien dabei waren.
Du kannst auch noch das probieren:
Windowstaste+R -->sfc /scannow --> <enter>
Du wirst dann nach der Windows CD gefragt dann werden die systemdateien überprüft und gegebenenfalls repariert

hallo nochmal,

also ich kann es nicht oft genung sagen >>> VIELEN DANK FÜR ALLES !!!

danke für die mühe die du dir gemacht hast und vor allem für deine zeit !!!

auf meinem rechner ist jetzt wieder RUHE eingekehrt

leider muss ich dich doch noch mal wegen dieser desktop "pest" löchern

vielleicht reden wir ja aneinander vorbei... wahrscheinlich arbeitest du mit Win2000 und kannst mein problem nicht ganz nachvollziehen...

du hast mir beschrieben wie ich bei win2000 zu den Anzeigeoptionen komme !!!

da ich ja winXP benütze schaut die sache ganz anders aus bei mir...

um zu den anzeige optionen zu kommen muss ich ja...

Start > Systemsteuerung > Darstellung und Designs > Anzeige... klicken !!!

ok so weit so gut... normalerweise habe ich sobald sich die "Eigenschaften von Anzeige" öffnen.... mehrere Register zur Auswahl...
das schaut dann "normalerweise" so aus...

Designs > Desktop > Bildschirmschoner > Darstellung > Eintellungen

worauf ich eigentlich die ganze zeit hinaus will... ist...

das bei mir... wenn ich das Fenster "Anzeige" öffne...

nur die Register "Bildschirmschoner und Einstellungen" zur Auswahl stehen !!!

die register "designs > desktop > darstellungen" stehen nicht da wo sie sein sollten !?!?!?!

und aufgrund dessen komme ich nicht dazu auf "desktop anpassen" zu klicken weil ich ja den register "desktop" nicht zur auswahl habe !!!

ich hoffe das war jetzt verständlich genug erklärt

ich les jetzt mal alles was mir google zu diesem thema anzeigt, vielleicht hatte ja schon mal jemand dieses problem !

auf jeden fall möchte ich ein großes Lob für das "trojaner-board" aussprechen !!! ohne euch wären wir "User" aufgeschmissen

bis bald

lg

leandro

Ich bin deinem Problem auf der Spur (hoffe ich zumindest)

Win-Taste + R -> regedit -> Enter

Navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Solltest du dort den Eintrag "NoThemesTab" finden, mach bitte folgendes: Rechtklick darauf-> Ändern-> Wert auf 0 stellen -> OK
Designs sollte wieder erscheinen.

Das Gleiche mit
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage
Desktop sollte wieder erscheinen (Rechtsklick auf NoDispBackgroundPage und Wert ändern)


Sollte es funktionieren, schau ich auch mal ob ich den Eintrag für "Darstellungen" noch finde, hab keine Lust mehr das RegMon-Log durchzuschauen...

P.S: Ich hafte für nichts! (obwohl es eigentlich relativ gefahrlos ist)


EDIT: Prüfe das auch noch für diesen Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage
Falls vorhanden auch auf 0 stellen.

Falls jmd. einen besseren Vorschlag hat: nur her damit

EDIT2: Eigentlich müsste es sich nur um diese beiden handeln:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage

Zitat:

Zitat von leandro

P.S.: mir ist aufgefallen das meinen antiviren prog. & firewall nicht mehr automatisch gestartet werden ? und ändern kann ich das auch nicht ?
da muss noch irgendwas faul sein ?

Ist das noch immer der Fall?

@ll

Ein sehr guten Lösungsweg zu diesem Problem, könnt ihr im Post von Pieter_Arntz nachlesen.

Meine Vorschläge:
Entweder dies oder jenes ausführen und zwar so:
Rechtsklick auf einen der Links -> Ziel speichern unter... -> z.B. der erste Link: 'webtabmissing.reg' unter C:\ abspeichern -> Doppelklick auf 'webtabmissing.reg' und nachfolgende Frage mit 'Ja' bestätigen.

Normalerweise müssten danach alle Reiter wieder zur Verfügung stehen.

EDIT:
Eine ausführliche Erklärung bzw. Auswirkungen zu den einzelnen Einträgen im Reg Key [1] findest du hier:
http://www.pc-tips.ch/registrytip.php
[1] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Da die o.g. Seite momentan leider auf dem Server nicht mehr erreichbar ist, werde ich den Inhalt temporär aus meinem Cache zur Verfügung stellen!

Code: Alles auswählenAufklappen

ATTFilter

	
Zitat:
	

			
				Registry-Tips			
			
Eintrag	        Datentyp	Wert	Auswirkungen
			
Funktionen aus dem Startmenu ausblenden			
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer			
			
NoRun	   DWORD	1	Ausführen wird nicht mehr angezeigt
NoFind	DWORD	1	Suchen wird nicht mehr angezeigt
NoClose	DWORD	1	Herunterfahren wird nicht mehr angezeigt
NoSetFolders	DWORD	1	Systemsteuerung und Drucker werden nicht mehr angezeigt
NoStartMenuSubFolders	DWORD	1	Alle Ordner werden auf dem benutzerspezifischem Abschnitt ausgeblendet
NoSetTaskbar	DWORD	1	Taskleiste wird unter Einstellungen nicht mehr angezeigt
NoCommonGroups	DWORD	1	Die allgemeinen Programmgruppen erscheinen im Startmenu nicht mehr
NoBanner	DWORD	1	Das Startbanner wird deaktiviert (Win98)
NoStartBanner	DWORD	1	Es erscheint kein "Klicken Sie hier...." mehr
NoTrayContextMenu	DWORD	1	Kein Kontextmenu bei Rechtsklick auf Taskbar, Start-Button und Uhr
NoSetActiveDesktop	DWORD	1	Kein ActiveDesktop mehr unter Start-Einstellungen (Win98)
NoFolderOptions	DWORD	1	Keine Ordner-Optionen mehr unter Start-Einstellungen und Explorer
NoFavoritesMenu	DWORD	1	Keine Favoriten im Startmenu
NoRecentDocsMenu	DWORD	1	Keine "Dokumente" im Startmenu
NoChangeStartMenu	DWORD	1	Kein Start-Menu
NoWindowsUpdate	DWORD	1	Kein Windows-Update unter Start-Einstellungen (Win98)
NoLogoff	DWORD	1	Kein "User Abmelden" unter Start
NoSMHelp	DWORD	1	Keine Hilfe im Start-Menu (Win2000)
NoControlPanel	DWORD	1	Keine Eigenschaften im Kontextmenu (Desktop, Arbeitsplatz, Netzwerk, IE, Outlook)
NoRecentDocsHistory	DWORD	1	Es werden unter Start-Dokumente keine Einträge mehr hinzugefügt
NoSMMyDocs	DWORD	1	Kein Eintrag "Eigene Dateien" unter Start-Dokumente
ForceStartMenuLogoff	DWORD	1	"Username abmelden" wird zum Startmenu hinzugefügt (nach StartmenuLogoff)
NoRecentDocsNethood	DWORD	1	Es wird keine History für das Netzwerk angezeigt
			
Funktionen zur Netzwerksteuerung ausblenden			
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network			
			
NoFileSharing	DWORD	1	Keine "Freigaben" im Netzwerk werden freigegeben
NoPrintSharing	DWORD	1	Keine Drucker im Netzwerk werden freigegeben
NoNetSetup	DWORD	1	Netzwerksetup aus der Systemsteuerung wird entfernt (Win98)
NoNetSetupIDPage	DWORD	1	Identifikation aus der Netzwerkumgebung wird ausgeblendet
NoNetSetupSecurityPage	DWORD	1	"Zugriffsteuerung" aus der Systemsteuerung-Netzwerke wird entfernt
NoDialIn	DWORD	1	Der Zugriff auf den Rechner via Modem wird deaktiviert
NoEntireNetwork	DWORD	1	Gesamtes Netzwerk fehlt, nur noch Computer in der Arbeitsgruppe ersichtlich
NoWorkgroupContents	DWORD	1	Mitglieder der Netzwerk-Arbeitsgruppe werden nicht mehr in der Netzwerkumgebung angezeigt
DisablePwdCaching	DWORD	1	Kennwörter lassen sich nicht mehr in der PWL-Datei speichern
			
Funktionen des Desktops ausblenden			
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer			
			
NoSaveSettings	DWORD	1	Der Desktop wird beim Verlassen nicht mehr gespeichert
NoDesktop	DWORD	1	Alle Desktop-Icons werden nicht mehr angezeigt
NoPrinterTabs	DWORD	1	Drucker-Ordner ist nicht vorhanden
NoDeletePrinter	DWORD	1	Drucker können nicht gelöscht werden
NoAddPrinter	DWORD	1	Es können keine neuen Drucker installiert werden
NoInternetIcon	DWORD	1	Kein Internet-Symbol auf dem Desktop
NoNetHood	DWORD	1	Keine Netzwerkumgebung auf dem Desktop
NoFileSharingControl	DWORD	1	Datei- und Druckerfreigabe des Netzes wird ausgeschaltet (Win98)
NoNetworkConnections	DWORD	1	Netzwerk- und DFÜ-Verbindungen werden aus dem Start-Menu ausgeblendet
NoDesktopUpdate	DWORD	1	Das Anlegen von neuen Verknüpfungen auf dem Desktop ist nicht mehr möglich
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop			
			
NoHTMLWallpaper	DWORD	1	Es sind keine HTML-Hintergrundbilder mehr möglich
NoChangingWallpaper	DWORD	1	Die Hintergrundbilder können nicht mehr geändert werden
NoMovingBands	DWORD	1	Die Grösse der Symbolleisten kann nicht mehr geändert werden
			
Funktionen der Systemsteuerung - System ausblenden			
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System			
			
NoVirtMemPage	DWORD	1	Die Schaltflöche "Virtueller Arbeitsspeicher" wird ausgeblendet
NoFileSysPage	DWORD	1	Schaltfläche "Dateisystem" wird deaktiviert
NoConfigPage	DWORD	1	Einstellung für die Hardwareprofile wird ausgeblendet
NoDevMgrPage	DWORD	1	Der Geräte-Manager wird ausgeblendet
NoAdminPage	DWORD	1	Die Remote Admin Seite wird deaktiviert
NoProfilePage	DWORD	1	Die Profil Seite wird deaktiviert
NoPwdPage	DWORD	1	Die Passwort-Seite wird deaktiviert
			
Diverses			
			
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer			
			
AlwaysUnloadDLL	REG_SZ	1	Nichtbenötigte DLL-Files werden sofort aus dem Speicher gelöscht
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer			
			
ClearRecentDocsOnExit	DWORD	1	Dokumente, MRU-Liste und URL-History werden beim Beenden automatisch gelöscht
			
HKEY_CURRENT_USER\Control Panel\Desktop			
			
MenuShowDelay	REG_SZ	400	Zeitverzögerung in Millisekunden für das Oeffnen des Startmenus einstellen
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer			
			
NoWinKeys	DWORD	1	WinTaste + (Buchstabe) deaktivieren
			
HKEY_CURRENT_USER\Software\Policies\Windows\System			
			
DisbaleCMD	DWORD	1	Kommandozeilenoberfläche (CMD) deaktivieren (WinNT/2000/XP))
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System			
			
DisbaleRegistryTools	DWORD	1	Start des Registry-Editors unterbinden (GEFÄHRLICH!!!!)
			
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetExplorer\Cache\Content			
			
Cachelimit	REG_BINARY	0	Internet Explorer ohne Cache nutzen
			
HKEY_LOCAL_MACHINE\Network\Logon			
			
MustBeValidated	DWORD	1	Button "Abbrechen" bei der Win98-Anmeldung deaktivieren (nur mit NT-Domäne)
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System			
			
DisableTaskMgr	DWORD	1	Der Task-Manager kann nicht mehr aufgerufen werden
			
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon			
			
DontDisplayLastUserName	REG_SZ	1	Beim Anmelden wird der zuletzt angemeldete User nicht angezeigt
			
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion (Win98)			
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion(WinNT/2000)			
			
RegisteredOwner	REG_SZ	Name	Registrierter Name kann geändert werden
			
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup (Win98)			
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion (WinNT/2000)			
			
Sourcepath	REG_SZ	Pfad	Source des Installations-Verzeichnisses anpassen
			
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion			
			
ProgramFilesDir	REG_SZ	Pfad	Standard-Installations-Pfad für Programme anpassen
			
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects			
			
			Diesen Schlüssel löschen, falls die Taskleiste nicht mehr angezeigt wird
Copyright by pc-tips.ch			
			
		

         

Quelle: http://www.pc-tips.ch/registrytip.php

Ich glaub auch, dass Cidres Lösung die bessere ist.
Aber ich war auf dem richtigen Weg und wenn man die Einträge in den .reg-Datein anschaut, kann man durchaus Gemeinsamkeiten erkennen
Das nächste Mal mach ich mir nicht mehr die Arbeit das alles rauszufinden/-schreiben. Da such ich dann auch mal bei Google

hallo,

also ich muss schon sagen >>> saubere arbeit jungs

ich hab jetzt "restore all display tabs" runtergeladen und ausgeführt...
und siehe da... alle meine register sind wieder da

leider musste ich nach kurzer zeit feststellen das ich mich mal wieder zu
früh gefreut habe...

ich habe eine gute und eine schlechte nachricht

nachdem ich ja jetzt alle register wieder habe... konnte ich unter
desktop > desktop anpassen > web
den eintrag "security" löschen

aber...

jetzt hatte ich zwar einen komplett schwarzen desktop...
ohne "You're in danger" blablabla...
kann aber jetzt leider überhaupt keinen hintergrund mehr auswählen ???

hahahahha das darf nicht wahr sein...

ich weiß nicht ob ich lachen oder weinen soll

wenn ich jetzt unter "eigenschaften von anzeige" auf den register "desktop" klicke... dann steht dort unter dem bildschirm "normalerweise" in dunklen buchstaben

Hintergrund:

und darunter ist ein fenster in dem sich die von windows vordefinierten hintergründe befinden...

jetzt ist aber bei mir dieser "hintergrund" in "grauen buchstaben" das heißt sozusagen "deaktiviert" und ich kann mir deswegen keinen hintergrund aus dem fenster darunter aussuchen !?!?!?
außerdem ist auch der "durchsuchen" -button in grauen buchstaben d.h. ich kann den auch nicht benützen !?!?!?!?

was geht denn da ab ??? wahnsinn... eins muss man dem bill schon lassen...
abwechslungsreich ist sein windows auf jeden fall *lach*
man erlebt jeden tag eine neue überraschung

aber mal spaß bei seite...

ich muss wahrscheinlich wieder irgendeinen registrierungs-schlüssel ändern damit das wieder funktioniert !?

ich google mal ein bißchen durch die gegend... wahrscheinlich hatte schon jemand das gleiche prob.!!!

Ach ja, bevor ichs vergesse...

seitdem ich diese trojaner hatte... ich habs im letzten post schon mal angesprochen... wird mein Antivirenprog. & meine firewall nicht mehr automatisch gestartet ??? d.h. ich hab schon versucht... in den voreinstellungen von meiner firewall das häckchen bei "beim Systemstart laden" zu setzen... aber das häckchen taucht kurz auf und verschwindet sofort wieder hahhahaha das gibts ja wohl nicht ???

bei meinem Antivirenprog. sind alle häckchen gesetzt d.h. bei

- enable auto-protect
- start auto-protect when windows starts up
- show the auto-protect icon in the tray

aber sobald ich das AV-prog. schließe verschwindet es komplett...
früher hatte ich es immer im "tray" da wußte ich das es läuft, aber jetzt verschwindet es ganz... sobald ich es schließe ???

also bei mir stimmts leider immer noch hinten und vorne nicht

kann nur hoffen das ich nicht der einzige bin der diesen krampf hat/hatte!

es ist mittlerweile 3.24 in der früh und ich hocke immer noch vor der kiste... das ist nun der 3 tag in folge... vielleicht sollte ich die kiste einfach ausm fenster schmeissen *grummel*

aber morgen ist ein neuer tag... kommt zeit kommt rat

also gute nacht allerseits...

mir reichts für heute!


lg

leandro

hallo,

ich hab jetzt mal den Reg-key >>>

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper auf 0 geändert... aber das hat auch nichts gebracht !?!?!?!?

Wahrscheinlich wird >>> "format c:" das beste sein !!!

Ich hab wirklich keinen bock mehr, meine zeit zu vertrödeln

Auf jeden fall dank ich euch für eure hilfsbereitschaft und wünsche allen viel erfolg beim ausrotten der trojaner

bis dann

lg

leandro

Also ich habe eben dieses Problem mit dem "Danger"-Desktop-Webelement auf einem Kundenrechner.
Die Möglichkeit dieses ("Security" unter Desktop-Web) zu löschen habe ich schon bevor ich mich auf die Suche hier im Forum begeben habe angewendet, jedoch kehrt das Problem nach einem Neustart wieder.
Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet.
Leider ohne Erfolg.
Spybot und Adaware bringen mich - wie hier bereits erwähnt - auch zu keiner Lösung.
Da es sich wie oben erwähnt um einen Kundenrechner handelt - welches nicht der erste und mit Sicherheit nicht der letzte ist - halte ich die -Methode "format c:" nicht für eine angebrachte Lösung.
Gut wäre eine zuverlässige - evtl auch vom Kunden selbst anwendbare !? - Methode diese "Sicherheitwarnung" ohne Neuaufsetzen des Systems in den Griff zu bekommen.
Im Voraus vielen Dank für die Bemühungen!

@Sosurfer
Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet.

fixen alleine hilft nichts wenn man anschließend diese datei nicht löscht.
poste ein HJT logfile.
hast du Cidres Lösungsvorschläge durchgelesen?


chaosman

1. Habe so ziemlich alle Anleitung hier studiert.

2. Mein Vorgehen:
- Systemwiederherstellung deaktiviert
- Eintrag "Security" unter "Desktop anpassen" - "Web" gelöscht
- im abgesicherten Modus (als der Benutzer mit dem problem angemeldet) mit Hijack den "O4 - ... \spoolsrv32.exe" gefixt
- C:\Windows\Web\desktop.html gelöscht (in C:\Windows\ befand sie sich nicht!?)
- Neustart ---->>> "You're in Danger"-Web-Hintergrund erscheint wieder
(gleiche Vorgehensweise auch als Admin durchgeführt)

3. Das Log-File

------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:54:49, on 22.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\zqihcfh.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.herpa.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.22.1.14:8080
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7CB4AA09-84CD-36CD-9682-6258A2104F3D} - C:\WINDOWS\iphr.dll (file missing)
O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Device\cm20.exe
O4 - HKLM\..\Run: [tdpmx] c:\windows\system32\tdpmx.exe /nocomm
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [winde] c:\windows\system32\winde.exe /nocomm
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [gmbpok] c:\windows\system32\gmbpok.exe
O4 - HKLM\..\Run: [HQTKHYIQ] c:\windows\system32\hqtkhyiq.exe /install
O4 - HKLM\..\Run: [qbgbyz] c:\windows\system32\zqihcfh.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [Awei] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ttor.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Ebates - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=hxxp://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&hxxp://www9.volvo.com/truck/3dtruckconfigurator2/all/fh16.asp
O16 - DPF: {067D7797-04FC-42B1-92DB-81FC6CD318FD} (Dlctrl) - hxxp://www.eingang69.de/EroticAccess/Ocx/dlctrl2.ocx
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - hxxp://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {4B6E3013-6E45-11D0-9309-0020AFE05CC8} (blaxxun CC3D) - hxxp://www.blaxxun.com/download/contact/cab/blaxxunCC3D.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - hxxp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1034_EN_XP.cab
O16 - DPF: {5B82FA31-6AC7-15E7-6613-61BE5B32CC1B} - hxxp://69.50.182.94/1/rdgDE1342.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110125652203
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - hxxp://www.globalphon.com/dialer/internazionale_ver4.CAB
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} - hxxp://www.bcnx.com/SunInfoConnect_www.bcnx.com_medium.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - hxxp://www.eingang69.de/EroticAccess/exe/access_special.ocx
O18 - Filter: text/html - {554255B4-C494-4212-8B00-3388B8C2374A} - C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Network Security Service (__NS_Service_3) - Unknown owner - C:\WINDOWS\apimy.exe (file missing)
--------------------------------

Ja da liegt auch noch mehr im Argen, ich weiß. Hauptaugenmerk aber dieser spezielle Fall.

Hi Sosurfer

Zitat:

Ja da liegt auch noch mehr im Argen,...

das kannst Du laut sagen! Scanne mal mit escan

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen:

"öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
Wenn du dir das einzeln suchen ersparen willst:
Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)

@leandro
Versuch's mal noch mit diesem Pfad
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper
Wert auf 0 stellen.
Als ich es ausprobiert habe traten die von dir beschriebenen Symptome auf.

Das hatte ich auch.....mach unter systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web den Haken da raus und lösch des dann.

Greetz