![]() |
file://C:\WINDOWS\desktop.html wie geht das weg ) Huhu kurze frage, Seit neusten Ist mein Desktop Bild nicht mehr zu sehen, dort befindet sich eine Homepage seite mit Links die ich anklicken kann. Die Icons "Papierkorb" "Netzwerkumgebung" etc. sind alle noch vorhanden und anklickbar (nur der Arbeitsplatz ist verschwunden). Oki wenn ich jetzt auf dem Desktop rechtsklick eigenschaften mache, werden die eigenschaften dieser Html. seite angezeigt die über meinem Desktop bild und unter den Desktop icons sich befindet. Dorst steht das es sich um die datei handelt: file://C:\WINDOWS\desktop.html Jetzt habe ich die gelöscht, doch jetzt ist der Desktop einfach nur weiss mit den Icons. Habts vielleicht ein Tipp ? :) |
Hallo Silverdrug, Du bist Opfer des Browser-Hijackings geworden. Wir werden tun, was wir können, um Dir zu helfen. Erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es. Anhand des Logfiles können wir erkennen, welche Einträge auf Deinem System gefixed, also entfernt werden müssen, damit Dein Rechner wieder so läuft, wie Du es gerne hättest. Lieben Gruss SD |
Logfile of HijackThis v1.98.2 Scan saved at 09:03:31, on 03.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099179463687 |
Also ich kenne mich ja nicht so gut da aus. aber auf dem log konnte ich erstemal nix finden, vielleicht habts ja nen Tip :) |
@Silverdrug im log sehe ich nichts besonderes, hast du schon mal versucht dein desktop ansicht zu veränder? und danach neu zu booten? ist dein desktop dann wieder weiß? chaosman |
ich habe das problem auch und weis nicht weiter ... HILFE !!!! |
Evtl. hilft ein Blick unter den Anzeige-Eigenschaften (zur Not über die Systemsteuerung). Dort "Desktop" - "Desktop anpassen" - "Web" mal unter die Lupe nehmen und evtl. anpassen / bereinigen. Gruß :daumenhoc Yopie |
|
ne das bringt nix ich schreibe mal den queltext der angezeigten seite vielleicht bringt das etwas ps neustart hilft leider nicht :( <html><style>td {font: 14px Arial; color: white}</style><body bgcolor=black><table width=100% height=100%><td align="center"><table onclick="window.open('http://213.159.117.130/?affid=NAT-13');" style="cursor:hand" width=640 height=470 cellpadding=0 cellspacing=0 style="border:1px dashed gray"><tr><td bgcolor=black valign="top"> <table width=640> <tr><td width=120 rowspan=2><td><span style="font: bold 26px Arial; color: yellow;">WARNING!</span></td></tr> <tr><td><span style="font: bold 30px Arial; color: white;">YOU'RE IN DANGER!</span></td></tr> </table> <br><br><div style="padding:10"><strong>ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.</strong><br><br>Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - <font color=yellow>ARE STILL THERE</font> and could broke your life!<br><br><p style="font: bold 24px Arial; color: yellow; margin-left:110">SECURE YOURSELF RIGHT NOW!</p></div></td></tr><tr><td><table width="100%" bgcolor="gray" cellpadding="10"><td align=center><a href="#" onclick="return false" style="color:black">Removal instructions</a></td></table></td></table></td></table></body></html> |
das ist mein log text Logfile of HijackThis v1.98.2 Scan saved at 21:26:59, on 03.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SVHOST.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\rmctrl.exe C:\windows\system32\taskmgn.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Mozilla Firefox\firefox.exe D:\HiJacker tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [EumexInst] REM "G:\Setup.exe" O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [FineReader7NewsReaderPro] REM "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe O4 - HKLM\..\Run: [zshov] REM C:\WINDOWS\zshov.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Steam] REM "c:\programme\steam\steam.exe" -silent O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: Ulead Kalendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19389e46...dxIE601_de.cab |
Dein Windows ist nicht aktuell! Laut der automatischen Auswertung auf hijackthis.de bist Du mit RBOT.QG infiziert! Ich rate Dir zu einer Neuinstallation! Warum: http://oschad.de/wiki/index.php/Kompromittierung Wie: http://board.protecus.de/showtopic.p...me=1097944155& Gruß :daumenhoc Yopie |
erst mal möchte ich allen danke für die tolle hilfe von euch und werde dir ratschläge gleichmal in die tat umsetzen ( wenn ich die xp cd gefunden habe :lach: ) BIG THX |
habe noch was neues Zitat:
|
Juhuu, alsoooo anleitung wie man des wegbekommt: 1 - Taskleiste Rechtsklick - Eigenschaften. 2 - Taskleiste automatisch ausblenden Aktivieren. 3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war. 4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt. 5 - Dektop - Desktop anpassen 6 - Web-Karteikarte auswählen 7 - Eintrag "Security" Löschen |
Zitat:
Gruß :daumenhoc Yopie |
ein dickes dankeschön an alle ( again :D ) endlich ist das ding weg hehe |
von mir auch ein dickes DANKE,,, endlich wieder einen cleanen PC :party: |
ich kann nicht mehr seit einer woche habe ich auch das selbe problem wie bekomme ich denn den mist weg bitte helf mir!! :p |
@ speedy04, lies einfach diesen Thread und mach das, was die anderen herausgefunden haben .... http://www.cosgan.de/images/smilie/haushalt/h042.gif Sollte das nicht reichen, bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html erstellen und posten ... die Auswertung erfolgt allerdings erst heute früh. SD |
Hmm mich hats auch erwischt, den Desktop hab ich auch gecleant, aber was meint ihr hierzu: Logfile of HijackThis v1.99.0 Scan saved at 17:24:13, on 16.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\soundman.exe C:\Programme\D-Tools\daemon.exe D:\PUZZLE~1\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\Software\software.exe C:\WINDOWS\gkxai.exe C:\Programme\ISTsvc\istsvc.exe E:\Programme\bluetooth-Software\BTTray.exe E:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE E:\Programme\ICQ\ICQ.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\Programme\bluetooth-Software\bin\btwdins.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\winrar\WinRAR.exe C:\DOKUME~1\Messer\LOKALE~1\Temp\Rar$EX00.187\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [Supernova] C:\WINDOWS\Hello-Kitty.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\PUZZLE~1\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [Software] C:\WINDOWS\System32\Software\software.exe O4 - HKLM\..\Run: [Cw6B4OW] C:\WINDOWS\gkxai.exe O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvuww32.exe O4 - HKLM\..\Run: [lmu] C:\WINDOWS\LMU.exe O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - E:\Programme\bluetooth-Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\bluetooth-Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\bluetooth-Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.c4tdownload.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.finefind.net O15 - Trusted Zone: *.iframe.biz O15 - Trusted Zone: *.megapornix.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.newiframe.biz O15 - Trusted Zone: *.overpro.com O15 - Trusted Zone: *.pizdato.biz O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.sp2admin.biz O15 - Trusted Zone: *.sp2fucked.biz O15 - Trusted Zone: *.vse-moe.biz O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O16 - DPF: v3cab - http://searchmiracle.com/cab/2.cab O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net...b/15yf09fg.cab O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download2.abetterinternet.com...5/payload2.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download2.abetterinternet.com...106/button.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_41.cab O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24fae64f...dxIE601_de.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta...soesysinfo.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\System32\lmf32v.dll O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service - WIDCOMM, Inc. - E:\Programme\bluetooth-Software\bin\btwdins.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten 11) Alle Passwörter auf dem neuen sauberen System ändern. |
hallo , ich habe das selbe problem . Ich habe einen link angeklickt und dann war da eine komische Meldung auf meinem Desktop.Ich habe dann die Datei file://C:\WINDOWS\desktop.html gelöscht . Dann ist diese komische Meldung weggegangen , aber nun ist mein Desktop zum Teil weiß/beige . und das geht nicht mehr weg.Muss ich meinen pc jetzt formatieren , oder kann man dieses problem auch anders wegmachen?? |
Danke für diese guten erklärungen! hab es jetzt geschafft es weg zu machen!! jippie! danke sehr :bussi: |
Mir geht es genau so, aber leider habe ich keinerlei große Computererfahrung. Also cih will mal beschrieben wie das bei mir ist. Mir ist folgendes passiert: Ich bin auf eine Website gegangen dann kann da so ne seite von smar security (was immer das auch ist). Dann hatte ich das auch als Destkopelement, dieses "Your in Danger!", das konnte ich löschen jetzt hab ich so nen papyrusfarbenen Hintergrund der sich manchmal mit nem weißen Hintergrund abwechselt sozusagen. Und ich hab leider kaum Erfahrung und Ahnung könntet ihr mir das bitte genau erklären ja?? Das wäre voll wichtig und so cool wenn ihr das machen würdet!!! Daniel |
Hast du denn das, was hier in dem Thread beschrieben ist, schon probiert? Z.BSp: "1 - Taskleiste Rechtsklick - Eigenschaften. 2 - Taskleiste automatisch ausblenden Aktivieren. 3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war. 4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt. 5 - Dektop - Desktop anpassen 6 - Web-Karteikarte auswählen 7 - Eintrag "Security" Löschen" Ansonsten brauchen wir erst mal mehr Informationen über deinen Rechner, erstelle ein Hijackthis-Log: http://www.hijackthis.de/forum/showthread.php?t=17 und poste es hier in das entsprechende Forum in einen neuen Thread, weil es sonst zu unübersichtlich wird. |
oh ja danke ne noch nciht mach ich am besten mal thx |
cool thx das klappt cool ich fertige trotzdem ncoh mla das protokoll an!!! |
hatte das selbe problem und habe soeben die lösung gefunden!: Systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web und dort "security" löschen, eigentlich ganz simpel :daumenhoc |
So, mich hats soeben auch erwischt und die Ratschläge mit dem Löschen von "security" haben auch funktioniert, aber leider nur bis zum nächsten Restart. Habe meine Lofile auf dieser HomePage durchchecken lassen und 4 dieser als "böse" bezeichneten objekte lassen sich einfach nich Löschen. Sobald ich nochmal scanne sind sie wieder da. Hier mal die Log-File: (alles was mit 015 anfängt ist "böse) Logfile of HijackThis v1.99.1 Scan saved at 17:41:06, on 07.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\wdfmgr.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Privat\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Network Security Service (NSS) (%AF夶À¨) - Unknown owner - C:\WINDOWS\ipot32.exe (file missing) Pls HELP!!! |
@ MatzeBrown Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und führe dies aus -> http://www.trojaner-board.de/showpos...6&postcount=31 Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf Network Security Service (NSS) (%AF夶À¨) -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen Fixe diese Einträge (Haken setzen und auf Fix Checked klicken): O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe Alle O15 und O16 O23 - Service: Network Security Service (NSS) (%AF夶À¨) - Unknown owner - C:\WINDOWS\ipot32.exe (file missing) Lösche diese Dateien: C:\WINDOWS\ipot32.exe C:\WINDOWS\System32\spoolsrv32.exe - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - Neustart - dein System updaten (SP2 installieren) http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HiJackThis und die Virus Log Information von eScan posten |
Hallo erstmal ! Hatte das gleiche Problem ! Das mit dem Desktop habe ich durch eure Hilfe wieder hin bekommen. Meine Startseite wird aber immer wieder geändert und danach sieht der Desktop wieder genauso aus, ausserdem habe ich in der Schnellstartleiste ein Ausrufezeichen und es machen immer wieder Seite auf von irgenwelchen Sexseiten ! Ausserdem geht immer wieder ein Fenster auf mit "Error #317" irgendwelche Viren wurden erkannt , wenn man darauf klickt kommt man auf eine Seite auf der man Spy- und Antiviren Programme kaufen kann. Hier mein hijackthis.log Logfile of HijackThis v1.99.1 Scan saved at 16:41:10, on 17.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cmdtel.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\TuneUp Utilities\MemOptimizer.exe C:\programme\trafficdetector\Trafficdetector.exe C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\msiexec.exe C:\Downloads\HijackThis1991.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: concept/design's onlineTV - {B8B1BEA5-F4C0-4AC9-A9A2-9EB76C8C12BD} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094472381044 O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://grempf1000.dyndns.org:10002/a...CamControl.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
@crossie du hast den hier im system http://www.sophos.de/virusinfo/analyses/trojspyrea.html O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe system und IE updaten wechsle danach in den abgesicherten modus und fixe mit HJT R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) lösche danach manuell C:\PROGRA~1\FlashGet\JetCar.exe C:\PROGRA~1\FlashGet\jc_link.htm C:\WINDOWS\System32\spoolsrv32.exe C:\PROGRA~1\FlashGet\jccatch.dll lösche ordner C:\PROGRA~1\FlashGet neu booten, neues HJT logfile posten Flashget läuft mit werbung, nimm lieber LeechGet oder getRight chaosman |
Geht leider immer noch nicht ! Hier der Log : Logfile of HijackThis v1.99.1 Scan saved at 18:14:22, on 21.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cmdtel.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\TuneUp Utilities\MemOptimizer.exe C:\programme\trafficdetector\Trafficdetector.exe C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Downloads\HijackThis1991.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: concept/design's onlineTV - {B8B1BEA5-F4C0-4AC9-A9A2-9EB76C8C12BD} - C:\Programme\onlineTV\onlineTV.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094472381044 O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://grempf1000.dyndns.org:10002/a...CamControl.cab O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\_VWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
Hallo Trojanervirenwurm-Geplagte.. Ich hatte mir auch die Desktop-Warnung "YOU'RE IN DANGER" eingefangen und wurde von weiteren Plagegeistern, die auch in diesem Thread erwähnt werden, beglückt (dreieckiges gelbes Programmpiktogramm mit Ausrufezeichen und Popup-Fenstern, automatische Verlinkung auf eine Webseite mit AntiSpyware-Programmen). Dank des Beitrages von <chaosman> bin ich den Wahnsinn nun wieder los - Ächz! Es sind mir beim Durcharbeiten des Threads aber so viele Besonderheiten aufgefallen, daß ich mich entschlossen habe, diesen Beitrag zu schreiben. Die erste Frage, die ich mir stellte, war, ob die vielen Warnungen, mit denen man es zu tun, irgendwie im Zusammenhang mit WINDOWS stehen. Wenn ich es jetzt richtig verstanden habe, ist nichts davon Microsoft zuzuschreiben, sondern allein die Ausgeburt des Trojaner-Erstellers (insbesondere das dreieckige gelbe Programmpiktogramm gibt sich textuell als Windows-Servicemeldung aus). 1. Wiederholt wird im Thread empfohlen, den Eintrag "Security" in der Web-Karteikarte von Desktop anpassen (Programm Anzeige) zu deaktivieren. M.E. entfernt das zwar das nervige Desktopbild und bringt das eigene Hintergrundbild wieder zum Vorschein, ist aber eine reine Teilsymptombekämpfung und vermutlich völlig unnötig, wenn man den Trojaner gleich richtig entfernt. 2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können. 3. Der nützliche Verweis von <chaosman> auf http://www.sophos.de/virusinfo/analyses/trojspyrea.html hat mich ganz schön verwirrt. Dort soll nämlich die <runsrv32.dll> der Übeltäter sein. Ich hatte aber keine solche Datei auf meinem Rechner (zumindest nach Durchlauf von SpybotSD). Stattdessen die von <chaosman> beschriebene C:\WINDOWS\System32\spoolsrv32.exe 4. Der Beitrag von <chaosman> ist ja auf einen bestimmten User zugeschnitten. Ich brauchte eine Weile, um zu kapieren, daß in dem Beitrag die Behebung von 2 unabhängigen Problemen beschrieben wird. In meinem Fall ging es nur um <O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe> Alle Hinweise zu <FlashGet> waren für mich irrelevant und stehen m.E. nicht im Zusammenhang mit dem hier diskutierten Trojaner "Spyre-A". 5. Nach dem Fixen&Löschen im abgesicherten Modus dauerte es ewig, bis mein Rechner wieder hochgefahren war. Das Hintergrundbild war als Einziges minutenlang zu sehen. Hab dann noch mal runter&raufgefahren, jetzt ist gottseidank wieder alles normal. Danke nochmal an alle, die sich die Mühe machen, anderen über Beiträge zu helfen oder sogar Software wie den <hijackthis> zur Verfügung stellen, um diesem Wahnsinn beizukommen. Ich war ganz schön entnervt und bin heilfroh, daß mein Laptop nun wieder gesund ist!! In diesem Sinne, Ciao padd_y |
Ich habe auch das Problem mit dem weißen Bildschirm und bin bei der Lösungssuche auf die Seite gestossen. Ich hab versucht den Thread von Silverdrug v. 02.11.04 in die Tat umzusetzen.Wenn ich so verfahre, (Aktivierung Taskleiste automatisch ausblenden) sehe ich keinen Teil des "alten Desktop". Klicke ich auf die Stelle, wo zuvor ein Teil des Taskleiste abgebildet war, erscheint lediglich " Direkthilfe". Wie oder wo erscheint der "alte Desktop"? Danke für eventuelle Hilfestellung |
@padd_y 2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können. Spybot wird gegen spyware eingesetzt, nicht gegen "trojaner", auch wenn die bezeichnungen fließend sind. www.comsafe.de http://www.comsafe.de/angreifer.html#trojaner http://www.comsafe.de/angreifer.html#spyware lese dich hiermal durch http://www.safer-networking.org/de/a...-managers.html imho ich benütze lieber ein downloader ohne werbungsbanner als mit. aber das ist jeder selbst überlassen. @Tarheel, poste ein HJT logfile direktdownload anleitung chaosman |
Hab auch das Problem des weissen Desktops ... heute mittag ists passsiert ich hatte auf einmal auch diese seltsame seite und ausserdem noch ein paar andere viren denn mein pc schmierte mir laufend ab . .also hab ich die festplatte ausgebaut und zu nem freund geshcleppt ... adAware und XP AntiVir drüber laufen lassen alles entfernt ... leider hab ich nun diesen weissen desktop mit den standartsymbolen den ich weder rechtsklicken kann noch in der anzeige aktivieren kann .. einen eintrag "security" im web verzeichniss unter anzeige gibts leider nich bei mir .. ich hoffe hilfe .. falls ich nen log posten soll gebt mir bitte ne anleitung hab das noch nie gemacht ich bitte / hoffe um hilfe Des weiteren habe ich gerade festgestellt das ich wede rordner noch dateien noch leere flächen in meinem Explorer mit rechts anklicken kann.. da is was faul .. Edit: Habs grade selber mal gemacht .. hier mein log: O1 - Hosts: 82.179.166.192 new-search.net O1 - Hosts: 82.179.166.190 x-google.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~3.2\bin\jusched.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Deamon-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\STARDOCK\WINCUS~1\BOOTSKIN\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\dtwfi.exe O4 - HKLM\..\Run: [Bhu] C:\WINDOWS\Dif.exe O4 - HKLM\..\Run: [Disk Keeper] C:\DOKUME~1\DoubleM\LOKALE~1\Temp\keep.exe O4 - HKLM\..\Run: [Bsu] C:\WINDOWS\System32\Nld.exe O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !! O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent O4 - HKCU\..\Run: [Bhu] C:\WINDOWS\Dif.exe O4 - HKCU\..\Run: [Bsu] C:\WINDOWS\System32\Nld.exe O4 - Startup: Trillian.lnk = O:\Programme\Trillian\trillian.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x29.chm::/trs29.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107874898734 O17 - HKLM\System\CCS\Services\Tcpip\..\{F69AE524-8381-42B9-B75B-FC01BBBD51C0}: NameServer = 192.168.1.1 O20 - Winlogon Notify: drct16 - drct16.dll (file missing) O20 - Winlogon Notify: WB - D:\PROGRA~1\WINDOW~1\fastload.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\DoubleM\Desktop\FanSpeed1_2_0\fanspeedNT.exe" (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing) |
warning! you're in danger! hallo leute, ich hatte mal wieder das verlangen nach etwas nackter haut :teufel2: und jetzt hab ich den salat :lmaa: seit 2 tagen ist mein hintergrundbild ge-hijackt :mad: und ich hab auch noch ein paar trojaner dazu bekommen !!! ich habe stundenlang alle ergebnisse die mir google diesbezüglich ausgespuckt hat gelesen... aber irgendwie hab ich den "krampf" immer noch drauf :pfui: ich habe es auch mit : 1 - Taskleiste Rechtsklick - Eigenschaften. 2 - Taskleiste automatisch ausblenden Aktivieren. 3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war. 4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt. 5 - Dektop - Desktop anpassen 6 - Web-Karteikarte auswählen 7 - Eintrag "Security" Löschen versucht !!! Aber, wenn ich bei mir auf die eigenschaften klicke... dann stehen dort nur die Register >>> Bildschirmschoner und Einstellungen... von desktop oder web ist da nichts zu sehen ??? das heißt ich komme gar nicht dazu die einträge zu löschen weil ich nicht darauf zugreifen kann !!!??? :koch: also entweder bin ich zu blöd dafür oder ich hab eine neuere version von diesem hijacker drauf !!!??? ich hab auch schon einige "exe" dateien aus meinem system32 ordner gelöscht... unter anderem waren da.. - cmdtel.exe - cmdteld.exe - mocih.exe - mocihd.exe - spoolsvr32.exe und da waren auch noch : - dc14.html - dc6.exe - dc7.html die im verzeichnis "c: recycler..." sein sollen aber ich finde diesen ordner nicht ??? vielleicht hat ja jemand von euch schon mal dieses problem gehabt/gelesen... ich komme jedenfalls aus eigener kraft nicht mehr weiter :headbang: hier ist mein hijack-log : Logfile of HijackThis v1.99.1 Scan saved at 18:33:45, on 19.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Dell\OpenManage\Client\Iap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\DSL Speed Manager 5.11\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\windows\system32\taskmg.exe C:\WINDOWS\System32\ctfmon.exe D:\AOL 9.0\aoltray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe D:\DSL Speed Manager 5.11\tsmsvc.exe E:\Hi Jack This\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe" O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing) O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing) O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe ich danke euch im voraus und verbleibe bis bald leandro |
Hi, checke Dein system mal mit escan. Beschreibung richtig lesen! Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: => Total Files Scanned: => Total Virus(es) Found: => Total Disinfected Files: => Total Files Renamed: => Total Deleted Files: => Total Errors: => Time Elapsed: => Virus Database Date: => Virus Database Count: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) Wenn du dir das einzeln suchen ersparen willst: Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\find.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst! (Zitat: Haui45) |
hallo, erstmal ein herzliches dankeschön an "gigamail" :crazy: ich hab jetzt den mwav.log.... der scan hat zwar ca. 3 std. gedauert und mich hats fast vom hocker gehauen als ich vorhin nach hause kam und feststellen musste das auf meinem system 37 trojaner drauf sind :nixda: aber wenigstens weiß ich jetzt bescheid !!! das schlimme an der ganzen sache sind nicht die ganzen trojaner... mir machen die ganzen programme die ich zuvor laufen lies sorgen... ich hab mein system mit : mcaffe, norton, adaware, spybot, hijackthis, lsp fix, cwshredder, findnfix usw.... gescannt und keins davon hat mir die trojaner ausgespürt !!!??? und ich dachte ich bin gut gerüstet und habe gegen alle schädlinge ein mittel :schmoll: ach ja, in der anleitung von MWAV stand was von: Das MicroWorld AntiVirus Toolkit Utility entfernt ab der Version 4.5.1 leider die gefundene Malware nicht mehr automatisch. Hier müssen gefundene Dateien manuell im abgesicherten Modus entfernt werden. aber bevor ich das mache, dachte ich mir... ich poste erst mal den Log um eure meinung zu hören !!! hier nun mein MWAV Log : Tue Apr 19 20:15:55 2005 => MicroWorld AntiVirus Toolkit Utility. Tue Apr 19 20:15:55 2005 => Version 6.0.8 (C:\bases_x\mwavscan.com) Tue Apr 19 20:15:55 2005 => Log File: C:\bases_x\MWAV.LOG Tue Apr 19 20:15:55 2005 => MWAV Registered: FALSE. Tue Apr 19 20:15:55 2005 => MWAV Mode: Only Scan files. Tue Apr 19 20:15:55 2005 => Latest Date of files inside MWAV: 19 Apr 2005 20:22:50 Tue Apr 19 23:39:50 2005 => Total Objects Scanned: 71484 Tue Apr 19 23:39:50 2005 => Total Virus(es) Found: 37 Tue Apr 19 23:39:50 2005 => Total Disinfected Files: 0 Tue Apr 19 23:39:50 2005 => Total Files Renamed: 0 Tue Apr 19 23:39:50 2005 => Total Deleted Objects: 0 Tue Apr 19 23:39:50 2005 => Total Errors: 83 Tue Apr 19 23:39:50 2005 => Time Elapsed: 03:20:07 Tue Apr 19 23:39:50 2005 => Virus Database Date: 2005/04/19 Tue Apr 19 23:39:50 2005 => Virus Database Count: 126815 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 493:Tue Apr 19 20:20:12 2005 => File c:\windows\system32\taskmg.exe infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. 1919:Tue Apr 19 20:21:49 2005 => File C:\WINDOWS\System32\mtfxcakt.exe infected by "Trojan-Dropper.Win32.Agent.ii" Virus. Action Taken: No Action Taken. 1922:Tue Apr 19 20:21:49 2005 => File C:\WINDOWS\System32\mtuqaaaa.exe infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. 2407:Tue Apr 19 20:22:19 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken. 2515:Tue Apr 19 20:22:26 2005 => File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken. 2681:Tue Apr 19 20:22:36 2005 => File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken. 6392:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp11.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken. 6395:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp12.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken. 6400:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp13.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken. 6405:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp2.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken. 6408:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp3.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. 6411:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp4.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. 6417:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp8.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken. 6420:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp9.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken. 6423:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmpA.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken. 6426:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmpC.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken. 13701:Tue Apr 19 20:40:14 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc1.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken. 13705:Tue Apr 19 20:40:15 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc3.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken. 13709:Tue Apr 19 20:40:15 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc5.exe infected by "not-a-virus:AdWare.FindSpy.e" Virus. Action Taken: No Action Taken. 16205:Tue Apr 19 20:42:22 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP77\A0033230.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken. 20003:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043950.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken. 20006:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043951.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken. 20009:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043952.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken. 20012:Tue Apr 19 20:45:11 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043953.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken. 20030:Tue Apr 19 20:45:12 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043969.exe infected by "Trojan.Win32.Agent.ct" Virus. Action Taken: No Action Taken. 28351:Tue Apr 19 20:58:41 2005 => File C:\WINDOWS\system32\mtfxcakt.exe infected by "Trojan-Dropper.Win32.Agent.ii" Virus. Action Taken: No Action Taken. 28354:Tue Apr 19 20:58:41 2005 => File C:\WINDOWS\system32\mtuqaaaa.exe infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken. 29296:Tue Apr 19 20:59:39 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken. 29404:Tue Apr 19 20:59:46 2005 => File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken. 29772:Tue Apr 19 21:00:11 2005 => File C:\WINDOWS\system32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken. 36544:Tue Apr 19 22:06:39 2005 => File D:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP79\A0033814.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken. 75427:Tue Apr 19 23:39:50 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 8445:Tue Apr 19 20:27:58 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. 30344:Tue Apr 19 21:00:59 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. 30348:Tue Apr 19 21:00:59 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. 30360:Tue Apr 19 21:01:02 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. 30528:Tue Apr 19 21:01:58 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. 74706:Tue Apr 19 23:38:52 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ tja... das sieht mir nach ner menge arbeit aus :mad: |
Du solltest unbedingt Dein Windows updaten auf SP 2 Zitat:
Du hast einige Sachen drauf die unter anderem Passwörter ausspionieren, das sollte dir zu denken geben! Trojan-Downloader.Win32.Small.aql --> Zitat Antiviruslab: Allgemeine Beschreibung: Trojan-Downloader.Win32.Small.aql ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert. Trojan-Downloader.Win32.Adload.g --> Allgemeine Beschreibung: Trojan-Downloader.Win32.Adload.g ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert. Lade Dir LspFix hier lade Spybot-S&D und Ad-Aware und update beide Programme --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung ,scanne nach einander mit Spybot und Ad-Aware und lösche alle gefundenen Sachen fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung folgende Einträge: O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - Startup: PowerReg Scheduler.exe -->Prozess vorher beenden O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing) O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing) Datenträgerbereinigung: Windowstaste+R --> %temp% --> <enter> Inhalt löschen Windowstaste+R --> cleanmgr --> <enter> Klick bei Temporary Internet Files --> <enter> Papierkorb leeren alle Funde für "infected" im Verzeichnis Windows\System32 von Hand löschen Wenn sie nicht sichtbar sind, folgende Einstellung:Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Die Dateien in dem Ordner D:\System Volume Information\_restore sind nach einem Neustart weg Escan nochmal im abgesicherten Modus laufen Neu booten neues HJT posten und Ergebnisse von eScan. Solltest Du Probleme haben ins Netz zu kommen repariere mit LspFix |
hallo gigamail, zum glück habe ich einen zweiten rechner mit dem ich jetzt ins netz gehe... den infizierten lasse ich solange er nicht sauber ist offline ! ich bin grad am "verpesteten rechner" im abgesicherten modus und hab auch die systemwiederherstellung deaktiviert... momentan läuft adaware... die ganze zeit überlege ich ob ich mir die ganze action sparen und gleich die ganze platte löschen soll ??? da schlimme dabei ist... ich habe einfach zu viele sachen drauf und müsste alles neu installieren und das würde höchstwahrscheinlich noch länger dauern !?!?!?! ich glaub das alles einfach nicht :mad: ich melde mich sobald ich mit der säuberung durch bin... hoffentlich klappt alles :o bis dann und vielen dank für deine hilfsbereitschaft :party: tschüüü.... |
@leandro falls du neu aufsetzen möchtest hier eine anleitung http://www.trojaner-board.de/showpos...28&postcount=2 chaosman |
@chaosman vielen dank für den link... ich schau jetzt erstmal ob ich die "trojaner" mit hilfe von adaware, spybot usw... bzw. "manuell" weckbekomme... falls das nicht klappen sollte werde ich mir deinen vorschlag zu herzen nehmen :) @gigamail ich bin mit allen punkten fast durch :crazy: und werde mir demnächst dieses "kaspersky" holen... dann brauch ich den ganzen "mist" bei nächsten mal (hoffentlich passiert das nie wieder) nicht manuell zu löschen :nixda: sobald ich die neuen "escan & hijack" Log's habe... melde ich mich wieder !!! bis dahin viel erfolg bei der trojaner bekämpfung :koch: leandro |
halloooo, ich habs endlich hinter mir... alle trojaner sind weck :huepp: hier ist mein hijack-log: Logfile of HijackThis v1.99.1 Scan saved at 18:30:55, on 20.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe E:\Hi Jack This\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe" O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe bei MWAV hab ich nur noch... Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 83558:Wed Apr 20 16:13:24 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. 98974:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. 98978:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. 98990:Wed Apr 20 16:41:12 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. 99158:Wed Apr 20 16:42:08 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. 137130:Wed Apr 20 17:59:40 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ jetzt kann ich die Systemwiederherstellung wieder aktivieren oder !? Das einzige was jetzt noch fehlt... weswegen ich eigentlich hier war/bin... ist dieses verdammte "desktop.html" Ich hatte dieses problem schon mal auf meinem alten rechner mit Win2000pro SP4 und der trick mit: 1 - Taskleiste Rechtsklick - Eigenschaften. 2 - Taskleiste automatisch ausblenden Aktivieren. 3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war. 4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt. 5 - Dektop - Desktop anpassen 6 - Web-Karteikarte auswählen 7 - Eintrag "Security" Löschen hat damals funktioniert !!! Aber jetzt klappts einfach nicht.. wenn ich jetzt die taskleiste auf automatisch ausblenden setze... und auf meinen desktop schaue dann ist sie zwar ausgeblendet aber von meinem alten desktop kann ich trotzdem nichts sehen, nicht mal einen kleinen teil !?!?!? außerdem kommt noch hinzu... das ich unter den "Eigenschaften für Anzeige" nur noch die Register >>> "Bildschirmschoner und Einstellungen" zur Auswahl stehen habe !?!?!? von desktop oder web ist da nichts zu sehen ??? was mache ich falsch :nixda: ... woran kann das liegen ???? :snyper: bis bald lg leandro P.S.: mir ist aufgefallen das meinen antiviren prog. & firewall nicht mehr automatisch gestartet werden ? und ändern kann ich das auch nicht ? da muss noch irgendwas faul sein ? |
Dein Logfile sieht jetzt sauber aus. Du solltest aber noch den IE updaten. IE nur noch für Windowsupdates verwenden, aber die regelmäßig durchführen.Benutze in Zukunft alternative Browser wie z. B. http://filepony.de/download-opera/ http://www.mozilla.org/ Funde für "tagged" sind nicht gefährlich. Für die Desktopgeschichte probiere mal noch folgendes: START>Einstellungen>Systemsteuerung>Anzeige>Desktop>ganz unten "Desktop anpassen" anklicken>dann auf Web dort "Security" markieren und dann auf löschen klicken. da Du schon verschiedene Dateien vorher gelöscht hast kann ich nicht sagen obe vielleicht Systemdateien dabei waren. Du kannst auch noch das probieren: Windowstaste+R -->sfc /scannow --> <enter> Du wirst dann nach der Windows CD gefragt dann werden die systemdateien überprüft und gegebenenfalls repariert |
hallo nochmal, also ich kann es nicht oft genung sagen >>> VIELEN DANK FÜR ALLES !!! danke für die mühe die du dir gemacht hast und vor allem für deine zeit !!! auf meinem rechner ist jetzt wieder RUHE eingekehrt :) leider muss ich dich doch noch mal wegen dieser desktop "pest" löchern :nixda: vielleicht reden wir ja aneinander vorbei... wahrscheinlich arbeitest du mit Win2000 und kannst mein problem nicht ganz nachvollziehen... du hast mir beschrieben wie ich bei win2000 zu den Anzeigeoptionen komme !!! da ich ja winXP benütze schaut die sache ganz anders aus bei mir... um zu den anzeige optionen zu kommen muss ich ja... Start > Systemsteuerung > Darstellung und Designs > Anzeige... klicken !!! ok so weit so gut... normalerweise habe ich sobald sich die "Eigenschaften von Anzeige" öffnen.... mehrere Register zur Auswahl... das schaut dann "normalerweise" so aus... Designs > Desktop > Bildschirmschoner > Darstellung > Eintellungen worauf ich eigentlich die ganze zeit hinaus will... ist... das bei mir... wenn ich das Fenster "Anzeige" öffne... nur die Register "Bildschirmschoner und Einstellungen" zur Auswahl stehen !!! die register "designs > desktop > darstellungen" stehen nicht da wo sie sein sollten !?!?!?! und aufgrund dessen komme ich nicht dazu auf "desktop anpassen" zu klicken weil ich ja den register "desktop" nicht zur auswahl habe !!! ich hoffe das war jetzt verständlich genug erklärt :blabla: ich les jetzt mal alles was mir google zu diesem thema anzeigt, vielleicht hatte ja schon mal jemand dieses problem ! auf jeden fall möchte ich ein großes Lob für das "trojaner-board" aussprechen !!! ohne euch wären wir "User" aufgeschmissen :lach: bis bald lg leandro |
Ich bin deinem Problem auf der Spur (hoffe ich zumindest) ;) Win-Taste + R -> regedit -> Enter Navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\ Solltest du dort den Eintrag "NoThemesTab" finden, mach bitte folgendes: Rechtklick darauf-> Ändern-> Wert auf 0 stellen -> OK Designs sollte wieder erscheinen. Das Gleiche mit HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage Desktop sollte wieder erscheinen (Rechtsklick auf NoDispBackgroundPage und Wert ändern) Sollte es funktionieren, schau ich auch mal ob ich den Eintrag für "Darstellungen" noch finde, hab keine Lust mehr das RegMon-Log durchzuschauen... P.S: Ich hafte für nichts! (obwohl es eigentlich relativ gefahrlos ist) EDIT: Prüfe das auch noch für diesen Eintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage Falls vorhanden auch auf 0 stellen. Falls jmd. einen besseren Vorschlag hat: nur her damit ;) EDIT2: Eigentlich müsste es sich nur um diese beiden handeln: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage |
Zitat:
|
@ll Ein sehr guten Lösungsweg zu diesem Problem, könnt ihr im Post von Pieter_Arntz nachlesen. Meine Vorschläge: Entweder dies oder jenes ausführen und zwar so: Rechtsklick auf einen der Links -> Ziel speichern unter... -> z.B. der erste Link: 'webtabmissing.reg' unter C:\ abspeichern -> Doppelklick auf 'webtabmissing.reg' und nachfolgende Frage mit 'Ja' bestätigen. Normalerweise müssten danach alle Reiter wieder zur Verfügung stehen. EDIT: Eine ausführliche Erklärung bzw. Auswirkungen zu den einzelnen Einträgen im Reg Key [1] findest du hier: http://www.pc-tips.ch/registrytip.php [1] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Da die o.g. Seite momentan leider auf dem Server nicht mehr erreichbar ist, werde ich den Inhalt temporär aus meinem Cache zur Verfügung stellen! Code:
|
Ich glaub auch, dass Cidres Lösung die bessere ist. Aber ich war auf dem richtigen Weg und wenn man die Einträge in den .reg-Datein anschaut, kann man durchaus Gemeinsamkeiten erkennen ;) Das nächste Mal mach ich mir nicht mehr die Arbeit das alles rauszufinden/-schreiben. :p Da such ich dann auch mal bei Google :lach: |
hallo, also ich muss schon sagen >>> saubere arbeit jungs :party: ich hab jetzt "restore all display tabs" runtergeladen und ausgeführt... und siehe da... alle meine register sind wieder da :huepp: leider musste ich nach kurzer zeit feststellen das ich mich mal wieder zu früh gefreut habe... ich habe eine gute und eine schlechte nachricht :headbang: nachdem ich ja jetzt alle register wieder habe... konnte ich unter desktop > desktop anpassen > web den eintrag "security" löschen aber... jetzt hatte ich zwar einen komplett schwarzen desktop... ohne "You're in danger" blablabla... kann aber jetzt leider überhaupt keinen hintergrund mehr auswählen ??? hahahahha das darf nicht wahr sein... ich weiß nicht ob ich lachen oder weinen soll :lmaa: wenn ich jetzt unter "eigenschaften von anzeige" auf den register "desktop" klicke... dann steht dort unter dem bildschirm "normalerweise" in dunklen buchstaben Hintergrund: und darunter ist ein fenster in dem sich die von windows vordefinierten hintergründe befinden... jetzt ist aber bei mir dieser "hintergrund" in "grauen buchstaben" das heißt sozusagen "deaktiviert" und ich kann mir deswegen keinen hintergrund aus dem fenster darunter aussuchen !?!?!? außerdem ist auch der "durchsuchen" -button in grauen buchstaben d.h. ich kann den auch nicht benützen !?!?!?!? was geht denn da ab ??? wahnsinn... eins muss man dem bill schon lassen... abwechslungsreich ist sein windows auf jeden fall *lach* man erlebt jeden tag eine neue überraschung :crazy: aber mal spaß bei seite... ich muss wahrscheinlich wieder irgendeinen registrierungs-schlüssel ändern damit das wieder funktioniert !? ich google mal ein bißchen durch die gegend... wahrscheinlich hatte schon jemand das gleiche prob.!!! Ach ja, bevor ichs vergesse... seitdem ich diese trojaner hatte... ich habs im letzten post schon mal angesprochen... wird mein Antivirenprog. & meine firewall nicht mehr automatisch gestartet ??? d.h. ich hab schon versucht... in den voreinstellungen von meiner firewall das häckchen bei "beim Systemstart laden" zu setzen... aber das häckchen taucht kurz auf und verschwindet sofort wieder :mad: hahhahaha das gibts ja wohl nicht ??? bei meinem Antivirenprog. sind alle häckchen gesetzt d.h. bei - enable auto-protect - start auto-protect when windows starts up - show the auto-protect icon in the tray aber sobald ich das AV-prog. schließe verschwindet es komplett... früher hatte ich es immer im "tray" da wußte ich das es läuft, aber jetzt verschwindet es ganz... sobald ich es schließe ??? also bei mir stimmts leider immer noch hinten und vorne nicht :headbang: kann nur hoffen das ich nicht der einzige bin der diesen krampf hat/hatte! es ist mittlerweile 3.24 in der früh und ich hocke immer noch vor der kiste... das ist nun der 3 tag in folge... vielleicht sollte ich die kiste einfach ausm fenster schmeissen *grummel* aber morgen ist ein neuer tag... kommt zeit kommt rat :nixda: also gute nacht allerseits... mir reichts für heute! lg leandro |
hallo, ich hab jetzt mal den Reg-key >>> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper auf 0 geändert... aber das hat auch nichts gebracht !?!?!?!? Wahrscheinlich wird >>> "format c:" das beste sein !!! Ich hab wirklich keinen bock mehr, meine zeit zu vertrödeln :pukeface: Auf jeden fall dank ich euch für eure hilfsbereitschaft und wünsche allen viel erfolg beim ausrotten der trojaner :kloppen: bis dann lg leandro |
Also ich habe eben dieses Problem mit dem "Danger"-Desktop-Webelement auf einem Kundenrechner. Die Möglichkeit dieses ("Security" unter Desktop-Web) zu löschen habe ich schon bevor ich mich auf die Suche hier im Forum begeben habe angewendet, jedoch kehrt das Problem nach einem Neustart wieder. Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet. Leider ohne Erfolg. Spybot und Adaware bringen mich - wie hier bereits erwähnt - auch zu keiner Lösung. Da es sich wie oben erwähnt um einen Kundenrechner handelt - welches nicht der erste und mit Sicherheit nicht der letzte ist - halte ich die :kloppen: -Methode "format c:" nicht für eine angebrachte Lösung. Gut wäre eine zuverlässige - evtl auch vom Kunden selbst anwendbare !? - Methode diese "Sicherheitwarnung" ohne neuaufsetzen des Systems in den Griff zu bekommen. Im Voraus vielen Dank für die Bemühungen! |
@Sosurfer Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet. fixen alleine hilft nichts wenn man anschließend diese datei nicht löscht. poste ein HJT logfile. hast du Cidres Lösungsvorschläge durchgelesen? chaosman |
1. Habe so ziemlich alle Anleitung hier studiert. 2. Mein Vorgehen: - Systemwiederherstellung deaktiviert - Eintrag "Security" unter "Desktop anpassen" - "Web" gelöscht - im abgesicherten Modus (als der Benutzer mit dem problem angemeldet) mit Hijack den "O4 - ... \spoolsrv32.exe" gefixt - C:\Windows\Web\desktop.html gelöscht (in C:\Windows\ befand sie sich nicht!?) - Neustart ---->>> "You're in Danger"-Web-Hintergrund erscheint wieder (gleiche Vorgehensweise auch als Admin durchgeführt) 3. Das Log-File ------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 11:54:49, on 22.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.exe c:\windows\system32\zqihcfh.exe C:\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.herpa.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qsglj.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.coolsearch.biz/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.22.1.14:8080 F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {7CB4AA09-84CD-36CD-9682-6258A2104F3D} - C:\WINDOWS\iphr.dll (file missing) O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing) O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Device\cm20.exe O4 - HKLM\..\Run: [tdpmx] c:\windows\system32\tdpmx.exe /nocomm O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKLM\..\Run: [winde] c:\windows\system32\winde.exe /nocomm O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe" O4 - HKLM\..\Run: [gmbpok] c:\windows\system32\gmbpok.exe O4 - HKLM\..\Run: [HQTKHYIQ] c:\windows\system32\hqtkhyiq.exe /install O4 - HKLM\..\Run: [qbgbyz] c:\windows\system32\zqihcfh.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [Awei] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ttor.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PowerPanel.lnk = ? O8 - Extra context menu item: Ebates - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (HKCU) O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=hxxp://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&hxxp://www9.volvo.com/truck/3dtruckconfigurator2/all/fh16.asp O16 - DPF: {067D7797-04FC-42B1-92DB-81FC6CD318FD} (Dlctrl) - hxxp://www.eingang69.de/EroticAccess/Ocx/dlctrl2.ocx O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - hxxp://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab O16 - DPF: {4B6E3013-6E45-11D0-9309-0020AFE05CC8} (blaxxun CC3D) - hxxp://www.blaxxun.com/download/contact/cab/blaxxunCC3D.cab O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - hxxp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1034_EN_XP.cab O16 - DPF: {5B82FA31-6AC7-15E7-6613-61BE5B32CC1B} - hxxp://69.50.182.94/1/rdgDE1342.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110125652203 O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - hxxp://www.globalphon.com/dialer/internazionale_ver4.CAB O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} - hxxp://www.bcnx.com/SunInfoConnect_www.bcnx.com_medium.cab O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - hxxp://www.eingang69.de/EroticAccess/exe/access_special.ocx O18 - Filter: text/html - {554255B4-C494-4212-8B00-3388B8C2374A} - C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe O23 - Service: Network Security Service (__NS_Service_3) - Unknown owner - C:\WINDOWS\apimy.exe (file missing) -------------------------------- Ja da liegt auch noch mehr im Argen, ich weiß. Hauptaugenmerk aber dieser spezielle Fall. |
Hi Sosurfer Zitat:
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: => Total Files Scanned: => Total Virus(es) Found: => Total Disinfected Files: => Total Files Renamed: => Total Deleted Files: => Total Errors: => Time Elapsed: => Virus Database Date: => Virus Database Count: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) Wenn du dir das einzeln suchen ersparen willst: Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst! (Zitat: Haui45) |
@leandro Versuch's mal noch mit diesem Pfad HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper Wert auf 0 stellen. Als ich es ausprobiert habe traten die von dir beschriebenen Symptome auf. |
Das hatte ich auch.....mach unter systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web den Haken da raus und lösch des dann. Greetz |
:( Ich hab das problem auch ich werd mal so ne Log-file erstellen und sie rein posten ! |
Hier is meine log-file !!!!!! ------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 21:42:02, on 06.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\sys1218.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\HP\hpcoretech\comp\hptskmgr.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://w-find.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://w-find.com/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://w-find.com/sp.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://w-find.com/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://w-find.com/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://w-find.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://w-find.com/index.htm R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://w-find.com/index.htm R3 - URLSearchHook: (no name) - {269B6797-664E-48AA-B283-B012BDF6E525} - (no file) F2 - REG:system.ini: Shell=Explorer.exe init32m.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file) O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing) O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: FlashEnhancer Extnder - {A749B4BC-7621-4a80-9220-D0A283367DD5} - c:\Program Files\Fln\fln.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CIPWGMT] C:\WINDOWS\CIPWGMT.exe O4 - HKLM\..\Run: [HSNXFPZKU] C:\WINDOWS\HSNXFPZKU.exe O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [IFSplash] ImmSplsh.exe O4 - HKLM\..\Run: [FlnCPY] "C:\Program Files\Common Files\Java\flncpy.exe" O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun O4 - HKLM\..\Run: [sys1218] C:\WINDOWS\sys1218.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [aircity] C:\WINDOWS\system32\aircity.exe O4 - HKCU\..\Run: [wupdate] C:\WINDOWS\system32\wi32.exe O4 - HKCU\..\Run: [sys1218] C:\WINDOWS\sys1218.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O16 - DPF: {00000000-0000-0000-0000-000020030000} - hxxp://www.7adpower.com/dialer/austria.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - hxxp://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - hxxp://secure.goodthinxx.com/(cblbwa45hoocqh55cf1g4luv)/secureweb/securewebgt.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - hxxp://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - hxxp://e2give.com/downloads/UGO20.exe O18 - Filter: text/html - {0FBA5BB4-15E4-491D-A68B-BB63BED3001A} - C:\Dokumente und Einstellungen\Margret\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
hallo, ich habe ein grosses problem...seit ein paar tagen habe ich dasselbe problem..ein weisses viereck ist auf meinem desktop!und es geht nicht weg egal was ich tue...bei eigenschaften ist zu erkennen da es ein file protokoll ist : file://C:\WINDOWS\desktop.html ich habe keine ahnung wie ich das weg bekomme... ich habe mir alle beiträge durchgelesen aber ich kenne mich mit diesen sachen von computern gar nich aus und weiss auch nicht was eine logfile ist bzw wie ich das eingebe...ich glaube ich bin ein hoffnungsloser fall... es wäre super toll wenn mir irgendwie jemand helfen könnte...ich weiss nämlich nich was ich tun soll... canadian1984@hotmail.de |
ich denke ich habe den virus wieder wegbekommen - jedenfall wird mir bei hijack this nichts mehr angezeigt und auch andere scanner finden nichts mehr - aber das desktop bild kommt nicht wieder der tipp security deaktivieren in den einstellungen kann ich schlecht befolgen denn bei mir gibt es da keine solche schaltfläche zum deaktivieren P.S. ich hab mir den virus zweimal eingefangen - beidemale mit opera - I.E. nutze ich nicht und mit firefox gab es da noch kein problem Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:44:38, on 20.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\wok\NVIDIA~1\Apache Group\Apache2\bin\apache.exe C:\wok\NVIDIA~1\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\wok\TightVNC\WinVNC.exe C:\wok\NVIDIA~1\Apache Group\Apache2\bin\apache.exe C:\wok\NVIDIA~1\bin\nSvcIp.exe C:\WINDOWS\Explorer.EXE C:\Programme\XpertVision\TBPanel.exe C:\wok\DAEMON Tools\daemon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Outlook Express\msimn.exe C:\wok\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.test.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: SimonTools - {CC48EB38-F950-48C0-9F22-D64F829AE3DF} - C:\wok\CyberGhost\tbcghost.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinVNC] "C:\wok\TightVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [TBPanel] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [DAEMON Tools] "C:\wok\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Download Using &BitSpirit - C:\wok\BitSpirit\bsurl.htm O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\wok\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\wok\ICQ\ICQ.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\wok\NVIDIA~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\wok\NVIDIA~1\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\wok\TightVNC\WinVNC.exe -- End of file - 3471 bytes P.S. C:\wok ist ein verzeichnis für die meisten meiner programme |
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board