Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Desktop lässt sich nicht mehr verändern (https://www.trojaner-board.de/34732-desktop-laesst-mehr-veraendern.html)

Batoidea 27.12.2006 17:14

Hi!
Ich hab auch das Problem, dass ich mein Desktop net mehr verändern kann.
Hier ist mal mein HJ File:

Logfile of HijackThis v1.99.1
Scan saved at 17:10:23, on 27.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Tools\Home Cinema XL II\PowerCinema\PCMService.exe
E:\Tools\Daemon\daemon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\StopHid.exe
C:\Programme\Creative\Desktop Wireless\mouse_2k.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
E:\Tools\XoftSpySE\XoftSpy.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Tools\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Tools\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PCMService] "C:\Tools\Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Tools\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [CNYHKey] CNYHKey.exe
O4 - HKLM\..\Run: [StopHid] StopHid.exe
O4 - HKLM\..\Run: [CreativeMouse ] C:\Programme\Creative\Desktop Wireless\mouse_2k.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Tools\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tools\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145028469125
O17 - HKLM\System\CCS\Services\Tcpip\..\{262331F7-95C1-45BF-983E-C07D8C5C168A}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A638D13-A03E-4AF4-A05D-2EF56F09BA95}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{483DB64D-4315-4438-9CC9-38B717D8A00C}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E2892F4-901B-4A91-9411-46F6BAFE4B1C}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5FA3701-58D2-4ADC-A8B6-AF800972A89C}: NameServer = 85.255.113.107,85.255.112.182
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Bitte um Hilfe!!!

MFG

Joschi20 27.12.2006 18:28

Hi!

Nachdem ich dein Log auf : HijackThis Logfileauswertung auswerten ließ bekam ich ne Gänsehaut *gggrrr*

Der Desktop wird dein kleinstes Problem sein.
Falls du ein eingeschränktes Benutzerkonto hast (Was ich entfehle) kan man den Desktop nicht alles verändern, falls du Administratorrechte hast weiss ich nicht woran das Problem liegt.
Aber falls du noch Admin bist und kein eingeschränktes Konto zum surfen erstellt hast würde ich das schleunigst ändern.
-------------------------------------------------

Also du hast einige schwere Probleme auf deinem PC:

Zitat:


O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

Art

Äußerst schädlich
Äußerst schädlich
Unbedingt fixen!Added by the W32/RBOT-QE WORM!
Siehe:
Zitat:


07.06.2006 - W32/Rbot-QE ist ein Netzwerkwurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist. W32/Rbot-QE verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, und indem er die LSASS-Schwachstelle (MS04-011) ausnutzt.
------------------------------------------------------------------------

Deine 017er sind auch meines Erachtens nicht gut:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{262331F7-95C1-45BF-983E-C07D8C5C168A}: NameServer = 85.255.113.107,85.255.112.182

Art


Kennen Sie die IP oder die Domäne '85.255.113.107,85.255.112.182' nicht, fixen.
Besucherbewertung Analysedetails Unbekannt
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A638D13-A03E-4AF4-A05D-2EF56F09BA95}: NameServer = 85.255.113.107,85.255.112.182

Art


Kennen Sie die IP oder die Domäne '85.255.113.107,85.255.112.182' nicht, fixen.
Besucherbewertung Analysedetails Unbekannt
O17 - HKLM\System\CCS\Services\Tcpip\..\{483DB64D-4315-4438-9CC9-38B717D8A00C}: NameServer = 85.255.113.107,85.255.112.182

Art


Kennen Sie die IP oder die Domäne '85.255.113.107,85.255.112.182' nicht, fixen.
Besucherbewertung Analysedetails Unbekannt
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E2892F4-901B-4A91-9411-46F6BAFE4B1C}: NameServer = 85.255.113.107,85.255.112.182

Art


Kennen Sie die IP oder die Domäne '85.255.113.107,85.255.112.182' nicht, fixen.
Besucherbewertung Analysedetails Unbekannt
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5FA3701-58D2-4ADC-A8B6-AF800972A89C}: NameServer = 85.255.113.107,85.255.112.182

Art


Kennen Sie die IP oder die Domäne '85.255.113.107,85.255.112.182' nicht, fixen.

Diese IPs führen nach Ukraine und falls du nicht aus der Ukraine kommst ;-) würde ich diese Ports fixen.

Du hast dan einige fragwürdige Einträge auch noch aber überprüfe sie selber ind dem du das Log automatisch auf HijackThis Logfileauswertung auswerten lässt und dan mit Jotti: Online malware scan prüfst.

Mit welchen Browser surfst du?
Ich würde dir Firefox entfehlen.

Benutzt du ausser Norton auch noch etwas? Und machst du regelmäßig Updates?

Probieren mal gegen Spy und Maleware Adaware SE siehe Link: http://www.trojaner-board.de/34517-s...sky-suite.html

lg

Shadow 27.12.2006 18:32

Zitat:

Zitat von Joschi20 (Beitrag 245741)
...und Maleware ...

Pornos? Egoshooter? :balla: SCNR :D

Joschi20 27.12.2006 18:43

Zitat:

Zitat von Shadow (Beitrag 245742)
Pornos? Egoshooter? :balla: SCNR :D

Ich wusste es doch Shadow findet alles :aplaus:
Es lautet richtig Malware und nicht Maleware.


lg


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131