Desktop.exe
 

Hallo,

ich gehe über einen Router mit DSL ins Internet und habe keine andere Verbindung zu Telefon oder sonstigem. Mein Router baut seit gestern immer automatisch eine Verbindung auf, wenn mein Rechner hochgefahren ist und nach ein paar Minuten kann ich nicht mehr ins Internet, weil der Explorer meint keine Verbindung zu haben, der Router aber noch verbunden ist. Zudem wird der Rechner ab und zu mega lahm und reagiert kaum noch, wenn ich die LAN-Verbindung deaktivieren will.

AntiVir hatte bei mir einen Dialer und mehrere trojanische Pferde entdeckt. Diese habe ich mit AntiVir gelöscht. Mit Spybot konnte ich alles außer dem Eintrag "DSO Exploit" löschen. Und CWShredder hat zwar einen Eintrag mit "desktop.exe" erkannt und als bedrohlich eingestuft, nach dem fixen ist es aber immer wieder da. Genau das gleiche beim fixen vom HijackThis-log. Zusätzlich wird das Log von AntiVir als bedrohlich eingestuft. Ist das normal?

Ich bin überhaupt nicht erprobt mit HiJacker etc. vielleicht habe ich ja auch nur falsch gehandelt. Lese oft was von abgesicheter Modus etc. Müsste ich sowas auch machen?

Vielen Dank schonmal für hoffentliche Hilfe, ciao

Pete

Logfile of HijackThis v1.99.0
Scan saved at 18:53:38, on 13.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRAMME\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\Ingo Stahl\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [hppwrsav] C:\PROGRAMME\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [startup] C:\WINNT\system32\winlogon32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKCU\..\Run: [GoogleTranslator2] C:\Programme\Google-Translator\googletranslator.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINNT\system32\spool\drivers\w32x86\2\E_SRCV02.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\2\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3122ccba...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

Hallo,

dein Problem ist u.a der hier :http://www.sophos.de/virusinfo/analy...2agobotwc.html

Setz deinen Rechner neu auf nach dieser Anleitung hier: http://trojaner-board.de/showthread.php?t=12154

Gruss

Hallo,

ich kann aber meine Daten (txt, mp3 etc.) ohne Probleme auf Cd sichern, oder? An dem Router ist noch ein zweiter PC angeschlossen, der dieses Problem nicht hat. Soll ich den trotzdem auch neu aufsetzen?

Und was soll ich davon halten, dass das HiJackThis-Logfile von Antivir als bedrohlich eingestuft wird?

Danke, ciao

Pete

Kannst du machen nur keine ausführbaren Dateien wie Programme etc.!

Scan auch dann die CD mit den Daten mit einem aktuellen AV bevor du die Sachen auf den Rechner ziehst,sonst sieht das bald wieder so aus!

Lies auch die Tipps von Cidre genau,dann passiert das nicht soo schnell!


Gruss

Hi,

da ich sowieso ein neues System aufsetzen werde, habe ich versuchsweise einfach mal die desktop.exe und die anderen beiden desktop.*** dateien, die am selben Datum erstellt wurden gelöscht.
Danach habe ich mit HiJacker die Registry-Einträge gefixt.

Jetzt sind die Dateien nicht mehr da, und nach dem HiJackThis-Log ist jetzt wieder alles in Ordnung.

Wäre denn das System wirklich wieder in Ordnung, abgesehen von den (vielleicht) übermittelten Passwörtern? Ist jetzt nur ne hypotetische Frage, ob es theoretisch wieder zu nutzen wäre. Passwörter etc. habe ich natürlich von einem sicheren Rechner geändert.

Und nochmal die Frage: Ist der Rechner, der auch am Router hängt, und mit dem ich zwischenzeitlich eine LAN-Verbindung aufgebaut habe auch in Gefahr, selbst wenn er keins der Symptome aufweist und die Scanner alles für in Ordnung befinden?

Danke, ciao

Pete