file://C:\WINDOWS\desktop.html wie geht das weg )

Silverdrug · 02.11.2004, 22:14

Huhu kurze frage,

Seit neusten Ist mein Desktop Bild nicht mehr zu sehen, dort befindet sich eine Homepage seite mit Links die ich anklicken kann. Die Icons "Papierkorb" "Netzwerkumgebung" etc. sind alle noch vorhanden und anklickbar (nur der Arbeitsplatz ist verschwunden). Oki wenn ich jetzt auf dem Desktop rechtsklick eigenschaften mache, werden die eigenschaften dieser Html. seite angezeigt die über meinem Desktop bild und unter den Desktop icons sich befindet. Dorst steht das es sich um die datei handelt:

file://C:\WINDOWS\desktop.html

Jetzt habe ich die gelöscht, doch jetzt ist der Desktop einfach nur weiss mit den Icons.

Habts vielleicht ein Tipp ?

Shadowdance · 03.11.2004, 07:09

Hallo Silverdrug,

Du bist Opfer des Browser-Hijackings geworden. Wir werden tun, was wir können, um Dir zu helfen. Erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es. Anhand des Logfiles können wir erkennen, welche Einträge auf Deinem System gefixed, also entfernt werden müssen, damit Dein Rechner wieder so läuft, wie Du es gerne hättest.

Lieben Gruss
SD

Silverdrug · 03.11.2004, 09:03

Logfile of HijackThis v1.98.2
Scan saved at 09:03:31, on 03.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099179463687

Silverdrug · 03.11.2004, 12:48

Also ich kenne mich ja nicht so gut da aus. aber auf dem log konnte ich erstemal nix finden, vielleicht habts ja nen Tip

chaosman · 03.11.2004, 15:04

@Silverdrug

im log sehe ich nichts besonderes, hast du schon mal versucht dein desktop ansicht zu veränder?
und danach neu zu booten?
ist dein desktop dann wieder weiß?

chaosman

Phalanx · 03.11.2004, 21:13

ich habe das problem auch und weis nicht weiter ...
HILFE !!!!

Yopie · 03.11.2004, 21:16

Evtl. hilft ein Blick unter den Anzeige-Eigenschaften (zur Not über die Systemsteuerung). Dort "Desktop" - "Desktop anpassen" - "Web" mal unter die Lupe nehmen und evtl. anpassen / bereinigen.

Gruß

Yopie

chaosman · 03.11.2004, 21:20

@Phalanx

poste doch mal ein logfile mit Hijackthis http://www.hijackthis.de/

chaosman

Phalanx · 03.11.2004, 21:25

ne das bringt nix
ich schreibe mal den queltext der angezeigten seite vielleicht bringt das etwas

ps neustart hilft leider nicht

<html><style>td {font: 14px Arial; color: white}</style><body bgcolor=black><table width=100% height=100%><td align="center"><table onclick="window.open('http://213.159.117.130/?affid=NAT-13');" style="cursor:hand" width=640 height=470 cellpadding=0 cellspacing=0 style="border:1px dashed gray"><tr><td bgcolor=black valign="top">

<table width=640>
<tr><td width=120 rowspan=2><td><span style="font: bold 26px Arial; color: yellow;">WARNING!</span></td></tr>
<tr><td><span style="font: bold 30px Arial; color: white;">YOU'RE IN DANGER!</span></td></tr>
</table>

<br><br><div style="padding:10"><strong>ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.</strong><br><br>Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - <font color=yellow>ARE STILL THERE</font> and could broke your life!<br><br><p style="font: bold 24px Arial; color: yellow; margin-left:110">SECURE YOURSELF RIGHT NOW!</p></div></td></tr><tr><td><table width="100%" bgcolor="gray" cellpadding="10"><td align=center><a href="#" onclick="return false" style="color:black">Removal instructions</a></td></table></td></table></td></table></body></html>

Phalanx · 03.11.2004, 21:27

das ist mein log text

Logfile of HijackThis v1.98.2
Scan saved at 21:26:59, on 03.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SVHOST.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rmctrl.exe
C:\windows\system32\taskmgn.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HiJacker tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [EumexInst] REM "G:\Setup.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] REM "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [zshov] REM C:\WINDOWS\zshov.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] REM "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19389e46...dxIE601_de.cab

Yopie · 03.11.2004, 21:32

Dein Windows ist nicht aktuell!

Laut der automatischen Auswertung auf hijackthis.de bist Du mit RBOT.QG infiziert!

Ich rate Dir zu einer Neuinstallation!
Warum: http://oschad.de/wiki/index.php/Kompromittierung
Wie: http://board.protecus.de/showtopic.p...me=1097944155&

Gruß

Yopie

Phalanx · 03.11.2004, 21:45

erst mal möchte ich allen danke für die tolle hilfe von euch und werde dir ratschläge gleichmal in die tat umsetzen ( wenn ich die xp cd gefunden habe

)
BIG THX

Phalanx · 03.11.2004, 22:10

habe noch was neues

Zitat:

Zitat von Cat04

Very tricky Pop up :

Hi,
ich möchte mal auf das Hintergrundbild zurückkommen welches das eigene überdeckt.
Schwarz mit dem Textfenster " Warning you´re in danger ........ ".

Ich hab das gleiche Problem zeit Sonntag.

Mittlerweile hab ich meinen PC malware-/ virenfrei ( AntiVir, a², Spyboot&Search, ad-aware, hijack-auswertung )
Es wird nix Böses mehr gemeldet.
Der schwarze Desktop " Warning you´re in danger " ist geblieben.

Andere Foren berichteten bereits im Jahr 2000 hierüber, jedoch geben die meisten dann zum Schluß leider nicht Ihre Ergebnisse an .
Ein User hat kürzlich folgendes festgestellt :

Es ist kein Hintergrundbild sondern ein Pop up Fenster.
Wenn man seine Icon verschiebt und langsam mit gedrückter Maus über den Desktop geht, soll man eine schwache Linie entdecken können die oftmals auch wieder verschwunden ist, und schließlich findet man ein X zum Schließen
des Pop up Fensters.

So ich werd mal weiter nach diesem X suchen.
Wenn jemand genaueres weiß oder eine Idee hat, bitte melden, Danke

fG
Cat

ps ich habe bemerkt das es den anschein hat als würde sich das POPUPDING neuladen ( es blink von zeit zu zeit )

Silverdrug · 04.11.2004, 00:02

Juhuu,
alsoooo anleitung wie man des wegbekommt:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

Yopie · 04.11.2004, 12:28

Zitat:

Zitat von Silverdrug

Juhuu,
alsoooo anleitung wie man des wegbekommt:
[..]

Siehe auch http://www.trojaner-board.com/showpo...59&postcount=7 in diesem Thread.

Gruß

Yopie

03.11.2004, 21:16	#7
Yopie Moderator, a.D.	$file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard$ file://C:\WINDOWS\desktop.html wie geht das weg ) Evtl. hilft ein Blick unter den Anzeige-Eigenschaften (zur Not über die Systemsteuerung). Dort "Desktop" - "Desktop anpassen" - "Web" mal unter die Lupe nehmen und evtl. anpassen / bereinigen. Gruß Yopie

03.11.2004, 21:32	#11
Yopie Moderator, a.D.	$file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard$ file://C:\WINDOWS\desktop.html wie geht das weg ) Dein Windows ist nicht aktuell! Laut der automatischen Auswertung auf hijackthis.de bist Du mit RBOT.QG infiziert! Ich rate Dir zu einer Neuinstallation! Warum: http://oschad.de/wiki/index.php/Kompromittierung Wie: http://board.protecus.de/showtopic.p...me=1097944155& Gruß Yopie

file://C:\WINDOWS\desktop.html wie geht das weg )

Plagegeister aller Art und deren Bekämpfung: file://C:\WINDOWS\desktop.html wie geht das weg )