Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   file://C:\WINDOWS\desktop.html wie geht das weg ) (https://www.trojaner-board.de/9122-file-c-windows-desktop-html-geht-weg.html)

Silverdrug 02.11.2004 22:14

file://C:\WINDOWS\desktop.html wie geht das weg )
 
Huhu kurze frage,

Seit neusten Ist mein Desktop Bild nicht mehr zu sehen, dort befindet sich eine Homepage seite mit Links die ich anklicken kann. Die Icons "Papierkorb" "Netzwerkumgebung" etc. sind alle noch vorhanden und anklickbar (nur der Arbeitsplatz ist verschwunden). Oki wenn ich jetzt auf dem Desktop rechtsklick eigenschaften mache, werden die eigenschaften dieser Html. seite angezeigt die über meinem Desktop bild und unter den Desktop icons sich befindet. Dorst steht das es sich um die datei handelt:

file://C:\WINDOWS\desktop.html

Jetzt habe ich die gelöscht, doch jetzt ist der Desktop einfach nur weiss mit den Icons.

Habts vielleicht ein Tipp ? :)

Shadowdance 03.11.2004 07:09

Hallo Silverdrug,

Du bist Opfer des Browser-Hijackings geworden. Wir werden tun, was wir können, um Dir zu helfen. Erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es. Anhand des Logfiles können wir erkennen, welche Einträge auf Deinem System gefixed, also entfernt werden müssen, damit Dein Rechner wieder so läuft, wie Du es gerne hättest.

Lieben Gruss
SD

Silverdrug 03.11.2004 09:03

Logfile of HijackThis v1.98.2
Scan saved at 09:03:31, on 03.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099179463687

Silverdrug 03.11.2004 12:48

Also ich kenne mich ja nicht so gut da aus. aber auf dem log konnte ich erstemal nix finden, vielleicht habts ja nen Tip :)

chaosman 03.11.2004 15:04

@Silverdrug

im log sehe ich nichts besonderes, hast du schon mal versucht dein desktop ansicht zu veränder?
und danach neu zu booten?
ist dein desktop dann wieder weiß?

chaosman

Phalanx 03.11.2004 21:13

ich habe das problem auch und weis nicht weiter ...
HILFE !!!!

Yopie 03.11.2004 21:16

Evtl. hilft ein Blick unter den Anzeige-Eigenschaften (zur Not über die Systemsteuerung). Dort "Desktop" - "Desktop anpassen" - "Web" mal unter die Lupe nehmen und evtl. anpassen / bereinigen.

Gruß :daumenhoc
Yopie

chaosman 03.11.2004 21:20

@Phalanx

poste doch mal ein logfile mit Hijackthis http://www.hijackthis.de/


chaosman

Phalanx 03.11.2004 21:25

ne das bringt nix
ich schreibe mal den queltext der angezeigten seite vielleicht bringt das etwas

ps neustart hilft leider nicht :(



<html><style>td {font: 14px Arial; color: white}</style><body bgcolor=black><table width=100% height=100%><td align="center"><table onclick="window.open('http://213.159.117.130/?affid=NAT-13');" style="cursor:hand" width=640 height=470 cellpadding=0 cellspacing=0 style="border:1px dashed gray"><tr><td bgcolor=black valign="top">

<table width=640>
<tr><td width=120 rowspan=2><td><span style="font: bold 26px Arial; color: yellow;">WARNING!</span></td></tr>
<tr><td><span style="font: bold 30px Arial; color: white;">YOU'RE IN DANGER!</span></td></tr>
</table>

<br><br><div style="padding:10"><strong>ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.</strong><br><br>Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - <font color=yellow>ARE STILL THERE</font> and could broke your life!<br><br><p style="font: bold 24px Arial; color: yellow; margin-left:110">SECURE YOURSELF RIGHT NOW!</p></div></td></tr><tr><td><table width="100%" bgcolor="gray" cellpadding="10"><td align=center><a href="#" onclick="return false" style="color:black">Removal instructions</a></td></table></td></table></td></table></body></html>

Phalanx 03.11.2004 21:27

das ist mein log text

Logfile of HijackThis v1.98.2
Scan saved at 21:26:59, on 03.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SVHOST.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rmctrl.exe
C:\windows\system32\taskmgn.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HiJacker tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [EumexInst] REM "G:\Setup.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] REM "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [zshov] REM C:\WINDOWS\zshov.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] REM "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19389e46...dxIE601_de.cab

Yopie 03.11.2004 21:32

Dein Windows ist nicht aktuell!

Laut der automatischen Auswertung auf hijackthis.de bist Du mit RBOT.QG infiziert!

Ich rate Dir zu einer Neuinstallation!
Warum: http://oschad.de/wiki/index.php/Kompromittierung
Wie: http://board.protecus.de/showtopic.p...me=1097944155&

Gruß :daumenhoc
Yopie

Phalanx 03.11.2004 21:45

erst mal möchte ich allen danke für die tolle hilfe von euch und werde dir ratschläge gleichmal in die tat umsetzen ( wenn ich die xp cd gefunden habe :lach: )
BIG THX

Phalanx 03.11.2004 22:10

habe noch was neues

Zitat:

Zitat von Cat04
Very tricky Pop up :

Hi,
ich möchte mal auf das Hintergrundbild zurückkommen welches das eigene überdeckt.
Schwarz mit dem Textfenster " Warning you´re in danger ........ ".

Ich hab das gleiche Problem zeit Sonntag.

Mittlerweile hab ich meinen PC malware-/ virenfrei ( AntiVir, a², Spyboot&Search, ad-aware, hijack-auswertung )
Es wird nix Böses mehr gemeldet.
Der schwarze Desktop " Warning you´re in danger " ist geblieben.

Andere Foren berichteten bereits im Jahr 2000 hierüber, jedoch geben die meisten dann zum Schluß leider nicht Ihre Ergebnisse an .
Ein User hat kürzlich folgendes festgestellt :

Es ist kein Hintergrundbild sondern ein Pop up Fenster.
Wenn man seine Icon verschiebt und langsam mit gedrückter Maus über den Desktop geht, soll man eine schwache Linie entdecken können die oftmals auch wieder verschwunden ist, und schließlich findet man ein X zum Schließen
des Pop up Fensters.

So ich werd mal weiter nach diesem X suchen.
Wenn jemand genaueres weiß oder eine Idee hat, bitte melden, Danke

fG
Cat

ps ich habe bemerkt das es den anschein hat als würde sich das POPUPDING neuladen ( es blink von zeit zu zeit )

Silverdrug 04.11.2004 00:02

Juhuu,
alsoooo anleitung wie man des wegbekommt:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

Yopie 04.11.2004 12:28

Zitat:

Zitat von Silverdrug
Juhuu,
alsoooo anleitung wie man des wegbekommt:
[..]

Siehe auch http://www.trojaner-board.com/showpo...59&postcount=7 in diesem Thread. ;)

Gruß :daumenhoc
Yopie

Phalanx 04.11.2004 16:45

ein dickes dankeschön an alle ( again :D ) endlich ist das ding weg hehe

Cat04 04.11.2004 23:00

von mir auch ein dickes DANKE,,, endlich wieder einen cleanen PC
:party:

speedy04 05.11.2004 02:10

ich kann nicht mehr seit einer woche habe ich auch das selbe problem wie bekomme ich denn den mist weg bitte helf mir!! :p

Shadowdance 05.11.2004 02:26

@ speedy04,

lies einfach diesen Thread und mach das, was die anderen herausgefunden haben .... http://www.cosgan.de/images/smilie/haushalt/h042.gif

Sollte das nicht reichen, bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html erstellen und posten ... die Auswertung erfolgt allerdings erst heute früh.

SD

MesserSchmidt 16.12.2004 17:29

Hmm mich hats auch erwischt, den Desktop hab ich auch gecleant, aber was meint ihr hierzu:

Logfile of HijackThis v1.99.0
Scan saved at 17:24:13, on 16.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\soundman.exe
C:\Programme\D-Tools\daemon.exe
D:\PUZZLE~1\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Software\software.exe
C:\WINDOWS\gkxai.exe
C:\Programme\ISTsvc\istsvc.exe
E:\Programme\bluetooth-Software\BTTray.exe
E:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
E:\Programme\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\bluetooth-Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\winrar\WinRAR.exe
C:\DOKUME~1\Messer\LOKALE~1\Temp\Rar$EX00.187\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Supernova] C:\WINDOWS\Hello-Kitty.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\PUZZLE~1\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [Software] C:\WINDOWS\System32\Software\software.exe
O4 - HKLM\..\Run: [Cw6B4OW] C:\WINDOWS\gkxai.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvuww32.exe
O4 - HKLM\..\Run: [lmu] C:\WINDOWS\LMU.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - E:\Programme\bluetooth-Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\bluetooth-Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\bluetooth-Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.finefind.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: v3cab - http://searchmiracle.com/cab/2.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net...b/15yf09fg.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download2.abetterinternet.com...5/payload2.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download2.abetterinternet.com...106/button.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_41.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24fae64f...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta...soesysinfo.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\System32\lmf32v.dll
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - E:\Programme\bluetooth-Software\bin\btwdins.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

*Christian* 16.12.2004 20:47

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten
11) Alle Passwörter auf dem neuen sauberen System ändern.

murmel14 30.12.2004 17:24

hallo ,

ich habe das selbe problem . Ich habe einen link angeklickt und dann war da eine komische Meldung auf meinem Desktop.Ich habe dann die Datei file://C:\WINDOWS\desktop.html gelöscht . Dann ist diese komische Meldung weggegangen , aber nun ist mein Desktop zum Teil weiß/beige . und das geht nicht mehr weg.Muss ich meinen pc jetzt formatieren , oder kann man dieses problem auch anders wegmachen??

murmel14 30.12.2004 17:29

Danke für diese guten erklärungen! hab es jetzt geschafft es weg zu machen!! jippie! danke sehr :bussi:

Der_Dubalski 01.02.2005 15:12

Mir geht es genau so, aber leider habe ich keinerlei große Computererfahrung. Also cih will mal beschrieben wie das bei mir ist. Mir ist folgendes passiert:
Ich bin auf eine Website gegangen dann kann da so ne seite von smar security (was immer das auch ist). Dann hatte ich das auch als Destkopelement, dieses "Your in Danger!", das konnte ich löschen jetzt hab ich so nen papyrusfarbenen Hintergrund der sich manchmal mit nem weißen Hintergrund abwechselt sozusagen. Und ich hab leider kaum Erfahrung und Ahnung könntet ihr mir das bitte genau erklären ja?? Das wäre voll wichtig und so cool wenn ihr das machen würdet!!!

Daniel

MountainKing 01.02.2005 15:19

Hast du denn das, was hier in dem Thread beschrieben ist, schon probiert?
Z.BSp:

"1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen"


Ansonsten brauchen wir erst mal mehr Informationen über deinen Rechner, erstelle ein Hijackthis-Log:

http://www.hijackthis.de/forum/showthread.php?t=17

und poste es hier in das entsprechende Forum in einen neuen Thread, weil es sonst zu unübersichtlich wird.

Der_Dubalski 01.02.2005 15:39

oh ja danke ne noch nciht mach ich am besten mal thx

Der_Dubalski 01.02.2005 15:51

cool thx das klappt cool ich fertige trotzdem ncoh mla das protokoll an!!!

SHIMON 19.02.2005 16:06

hatte das selbe problem und habe soeben die lösung gefunden!:
Systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web und dort "security" löschen, eigentlich ganz simpel :daumenhoc

MatzeBrown 07.03.2005 17:42

So, mich hats soeben auch erwischt und die Ratschläge mit dem Löschen von "security" haben auch funktioniert, aber leider nur bis zum nächsten Restart.
Habe meine Lofile auf dieser HomePage durchchecken lassen und 4 dieser als "böse" bezeichneten objekte lassen sich einfach nich Löschen. Sobald ich nochmal scanne sind sie wieder da.
Hier mal die Log-File:
(alles was mit 015 anfängt ist "böse)

Logfile of HijackThis v1.99.1
Scan saved at 17:41:06, on 07.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Privat\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Network Security Service (NSS) (%AF夶À¨) - Unknown owner - C:\WINDOWS\ipot32.exe (file missing)

Pls HELP!!!

Cidre 07.03.2005 18:04

@ MatzeBrown

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und führe dies aus -> http://www.trojaner-board.de/showpos...6&postcount=31

Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf Network Security Service (NSS) (%AF夶À¨) -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
Alle O15 und O16
O23 - Service: Network Security Service (NSS) (%AF夶À¨) - Unknown owner - C:\WINDOWS\ipot32.exe (file missing)

Lösche diese Dateien:
C:\WINDOWS\ipot32.exe
C:\WINDOWS\System32\spoolsrv32.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- Neustart
- dein System updaten (SP2 installieren) http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

crossie 17.03.2005 16:34

Hallo erstmal !

Hatte das gleiche Problem !

Das mit dem Desktop habe ich durch eure Hilfe wieder hin bekommen.

Meine Startseite wird aber immer wieder geändert und danach sieht der Desktop wieder genauso aus, ausserdem habe ich in der Schnellstartleiste ein Ausrufezeichen und es machen immer wieder Seite auf von irgenwelchen Sexseiten !

Ausserdem geht immer wieder ein Fenster auf mit "Error #317" irgendwelche Viren wurden erkannt , wenn man darauf klickt kommt man auf eine Seite auf der man Spy- und Antiviren Programme kaufen kann.



Hier mein hijackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 16:41:10, on 17.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Downloads\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: concept/design's onlineTV - {B8B1BEA5-F4C0-4AC9-A9A2-9EB76C8C12BD} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094472381044
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://grempf1000.dyndns.org:10002/a...CamControl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

chaosman 17.03.2005 20:29

@crossie
du hast den hier im system
http://www.sophos.de/virusinfo/analyses/trojspyrea.html
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

system und IE updaten
wechsle danach in den abgesicherten modus und fixe mit HJT
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

lösche danach manuell
C:\PROGRA~1\FlashGet\JetCar.exe
C:\PROGRA~1\FlashGet\jc_link.htm
C:\WINDOWS\System32\spoolsrv32.exe
C:\PROGRA~1\FlashGet\jccatch.dll
lösche ordner
C:\PROGRA~1\FlashGet
neu booten, neues HJT logfile posten
Flashget läuft mit werbung, nimm lieber LeechGet oder getRight
chaosman

crossie 21.03.2005 18:08

Geht leider immer noch nicht !

Hier der Log :

Logfile of HijackThis v1.99.1
Scan saved at 18:14:22, on 21.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Downloads\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: concept/design's onlineTV - {B8B1BEA5-F4C0-4AC9-A9A2-9EB76C8C12BD} - C:\Programme\onlineTV\onlineTV.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094472381044
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://grempf1000.dyndns.org:10002/a...CamControl.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

dartus 21.03.2005 18:17

Hallo,

schau Dir diesen Thread mal an:

http://www.trojaner-board.de/showthr...2&page=2&pp=10

dartus

padd_y 25.03.2005 15:18

Hallo Trojanervirenwurm-Geplagte..

Ich hatte mir auch die Desktop-Warnung "YOU'RE IN DANGER" eingefangen und wurde von weiteren Plagegeistern, die auch in diesem Thread erwähnt werden, beglückt (dreieckiges gelbes Programmpiktogramm mit Ausrufezeichen und Popup-Fenstern, automatische Verlinkung auf eine Webseite mit AntiSpyware-Programmen).

Dank des Beitrages von <chaosman> bin ich den Wahnsinn nun wieder los - Ächz!

Es sind mir beim Durcharbeiten des Threads aber so viele Besonderheiten aufgefallen, daß ich mich entschlossen habe, diesen Beitrag zu schreiben.

Die erste Frage, die ich mir stellte, war, ob die vielen Warnungen, mit denen man es zu tun, irgendwie im Zusammenhang mit WINDOWS stehen. Wenn ich es jetzt richtig verstanden habe, ist nichts davon Microsoft zuzuschreiben, sondern allein die Ausgeburt des Trojaner-Erstellers (insbesondere das dreieckige gelbe Programmpiktogramm gibt sich textuell als Windows-Servicemeldung aus).

1. Wiederholt wird im Thread empfohlen, den Eintrag "Security" in der Web-Karteikarte von Desktop anpassen (Programm Anzeige) zu deaktivieren.
M.E. entfernt das zwar das nervige Desktopbild und bringt das eigene Hintergrundbild wieder zum Vorschein, ist aber eine reine Teilsymptombekämpfung und vermutlich völlig unnötig, wenn man den Trojaner gleich richtig entfernt.

2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können.

3. Der nützliche Verweis von <chaosman> auf http://www.sophos.de/virusinfo/analyses/trojspyrea.html hat mich ganz schön verwirrt. Dort soll nämlich die <runsrv32.dll> der Übeltäter sein.
Ich hatte aber keine solche Datei auf meinem Rechner (zumindest nach Durchlauf von SpybotSD).
Stattdessen die von <chaosman> beschriebene C:\WINDOWS\System32\spoolsrv32.exe

4. Der Beitrag von <chaosman> ist ja auf einen bestimmten User zugeschnitten. Ich brauchte eine Weile, um zu kapieren, daß in dem Beitrag die Behebung von 2 unabhängigen Problemen beschrieben wird.

In meinem Fall ging es nur um <O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe>
Alle Hinweise zu <FlashGet> waren für mich irrelevant und stehen m.E. nicht im Zusammenhang mit dem hier diskutierten Trojaner "Spyre-A".

5. Nach dem Fixen&Löschen im abgesicherten Modus dauerte es ewig, bis mein Rechner wieder hochgefahren war. Das Hintergrundbild war als Einziges minutenlang zu sehen. Hab dann noch mal runter&raufgefahren, jetzt ist gottseidank wieder alles normal.

Danke nochmal an alle, die sich die Mühe machen, anderen über Beiträge zu helfen oder sogar Software wie den <hijackthis> zur Verfügung stellen, um diesem Wahnsinn beizukommen.
Ich war ganz schön entnervt und bin heilfroh, daß mein Laptop nun wieder gesund ist!!

In diesem Sinne,
Ciao padd_y

Tarheel 27.03.2005 11:57

Ich habe auch das Problem mit dem weißen Bildschirm und bin bei der Lösungssuche auf die Seite gestossen. Ich hab versucht den Thread von Silverdrug v. 02.11.04 in die Tat umzusetzen.Wenn ich so verfahre, (Aktivierung Taskleiste automatisch ausblenden) sehe ich keinen Teil des "alten Desktop".
Klicke ich auf die Stelle, wo zuvor ein Teil des Taskleiste abgebildet war, erscheint lediglich " Direkthilfe". Wie oder wo erscheint der "alte Desktop"?
Danke für eventuelle Hilfestellung

chaosman 27.03.2005 12:12

@padd_y
2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können.

Spybot wird gegen spyware eingesetzt, nicht gegen "trojaner", auch wenn die bezeichnungen fließend sind.
www.comsafe.de
http://www.comsafe.de/angreifer.html#trojaner
http://www.comsafe.de/angreifer.html#spyware
lese dich hiermal durch
http://www.safer-networking.org/de/a...-managers.html

imho ich benütze lieber ein downloader ohne werbungsbanner als mit.
aber das ist jeder selbst überlassen.

@Tarheel,
poste ein HJT logfile
direktdownload
anleitung

chaosman

DoubleM 08.04.2005 18:36

Hab auch das Problem des weissen Desktops ... heute mittag ists passsiert ich hatte auf einmal auch diese seltsame seite und ausserdem noch ein paar andere viren denn mein pc schmierte mir laufend ab . .also hab ich die festplatte ausgebaut und zu nem freund geshcleppt ... adAware und XP AntiVir drüber laufen lassen alles entfernt ... leider hab ich nun diesen weissen desktop mit den standartsymbolen den ich weder rechtsklicken kann noch in der anzeige aktivieren kann ..

einen eintrag "security" im web verzeichniss unter anzeige gibts leider nich bei mir .. ich hoffe hilfe .. falls ich nen log posten soll gebt mir bitte ne anleitung hab das noch nie gemacht ich bitte / hoffe um hilfe

Des weiteren habe ich gerade festgestellt das ich wede rordner noch dateien noch leere flächen in meinem Explorer mit rechts anklicken kann.. da is was faul ..

Edit: Habs grade selber mal gemacht .. hier mein log:


O1 - Hosts: 82.179.166.192 new-search.net
O1 - Hosts: 82.179.166.190 x-google.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~3.2\bin\jusched.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Deamon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\STARDOCK\WINCUS~1\BOOTSKIN\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\dtwfi.exe
O4 - HKLM\..\Run: [Bhu] C:\WINDOWS\Dif.exe
O4 - HKLM\..\Run: [Disk Keeper] C:\DOKUME~1\DoubleM\LOKALE~1\Temp\keep.exe
O4 - HKLM\..\Run: [Bsu] C:\WINDOWS\System32\Nld.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Bhu] C:\WINDOWS\Dif.exe
O4 - HKCU\..\Run: [Bsu] C:\WINDOWS\System32\Nld.exe
O4 - Startup: Trillian.lnk = O:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x29.chm::/trs29.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107874898734
O17 - HKLM\System\CCS\Services\Tcpip\..\{F69AE524-8381-42B9-B75B-FC01BBBD51C0}: NameServer = 192.168.1.1
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O20 - Winlogon Notify: WB - D:\PROGRA~1\WINDOW~1\fastload.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\DoubleM\Desktop\FanSpeed1_2_0\fanspeedNT.exe" (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

leandro 19.04.2005 18:15

warning! you're in danger!
 
hallo leute,

ich hatte mal wieder das verlangen nach etwas nackter haut :teufel2:

und jetzt hab ich den salat :lmaa:

seit 2 tagen ist mein hintergrundbild ge-hijackt :mad:

und ich hab auch noch ein paar trojaner dazu bekommen !!!

ich habe stundenlang alle ergebnisse die mir google diesbezüglich ausgespuckt hat gelesen... aber irgendwie hab ich den "krampf" immer noch drauf :pfui:

ich habe es auch mit :

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

versucht !!!

Aber, wenn ich bei mir auf die eigenschaften klicke... dann stehen dort nur die Register >>> Bildschirmschoner und Einstellungen... von desktop oder web ist da nichts zu sehen ??? das heißt ich komme gar nicht dazu die einträge zu löschen weil ich nicht darauf zugreifen kann !!!??? :koch:

also entweder bin ich zu blöd dafür oder ich hab eine neuere version von diesem hijacker drauf !!!???

ich hab auch schon einige "exe" dateien aus meinem system32 ordner gelöscht... unter anderem waren da..

- cmdtel.exe
- cmdteld.exe
- mocih.exe
- mocihd.exe
- spoolsvr32.exe

und da waren auch noch :

- dc14.html
- dc6.exe
- dc7.html

die im verzeichnis "c: recycler..." sein sollen aber ich finde diesen ordner nicht ???

vielleicht hat ja jemand von euch schon mal dieses problem gehabt/gelesen... ich komme jedenfalls aus eigener kraft nicht mehr weiter :headbang:

hier ist mein hijack-log :

Logfile of HijackThis v1.99.1
Scan saved at 18:33:45, on 19.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Dell\OpenManage\Client\Iap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\DSL Speed Manager 5.11\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\windows\system32\taskmg.exe
C:\WINDOWS\System32\ctfmon.exe
D:\AOL 9.0\aoltray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\DSL Speed Manager 5.11\tsmsvc.exe
E:\Hi Jack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe


ich danke euch im voraus und verbleibe

bis bald

leandro

Gigamail 19.04.2005 18:30

Hi,

checke Dein system mal mit escan. Beschreibung richtig lesen!

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen:

"öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
Wenn du dir das einzeln suchen ersparen willst:
Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\find.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)

leandro 20.04.2005 01:33

hallo,

erstmal ein herzliches dankeschön an "gigamail" :crazy:

ich hab jetzt den mwav.log.... der scan hat zwar ca. 3 std. gedauert und mich hats fast vom hocker gehauen als ich vorhin nach hause kam und feststellen musste das auf meinem system 37 trojaner drauf sind :nixda:
aber wenigstens weiß ich jetzt bescheid !!!

das schlimme an der ganzen sache sind nicht die ganzen trojaner...
mir machen die ganzen programme die ich zuvor laufen lies sorgen...
ich hab mein system mit : mcaffe, norton, adaware, spybot, hijackthis, lsp fix,
cwshredder, findnfix usw.... gescannt und keins davon hat mir die trojaner ausgespürt !!!???

und ich dachte ich bin gut gerüstet und habe gegen alle schädlinge ein mittel :schmoll:

ach ja, in der anleitung von MWAV stand was von:

Das MicroWorld AntiVirus Toolkit Utility entfernt ab der Version 4.5.1 leider die gefundene Malware nicht mehr automatisch. Hier müssen gefundene Dateien manuell im abgesicherten Modus entfernt werden.

aber bevor ich das mache, dachte ich mir... ich poste erst mal den Log um eure meinung zu hören !!!


hier nun mein MWAV Log :



Tue Apr 19 20:15:55 2005 => MicroWorld AntiVirus Toolkit Utility.
Tue Apr 19 20:15:55 2005 => Version 6.0.8 (C:\bases_x\mwavscan.com)
Tue Apr 19 20:15:55 2005 => Log File: C:\bases_x\MWAV.LOG
Tue Apr 19 20:15:55 2005 => MWAV Registered: FALSE.
Tue Apr 19 20:15:55 2005 => MWAV Mode: Only Scan files.
Tue Apr 19 20:15:55 2005 => Latest Date of files inside MWAV: 19 Apr 2005 20:22:50



Tue Apr 19 23:39:50 2005 => Total Objects Scanned: 71484
Tue Apr 19 23:39:50 2005 => Total Virus(es) Found: 37
Tue Apr 19 23:39:50 2005 => Total Disinfected Files: 0
Tue Apr 19 23:39:50 2005 => Total Files Renamed: 0
Tue Apr 19 23:39:50 2005 => Total Deleted Objects: 0
Tue Apr 19 23:39:50 2005 => Total Errors: 83
Tue Apr 19 23:39:50 2005 => Time Elapsed: 03:20:07
Tue Apr 19 23:39:50 2005 => Virus Database Date: 2005/04/19
Tue Apr 19 23:39:50 2005 => Virus Database Count: 126815


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
493:Tue Apr 19 20:20:12 2005 => File c:\windows\system32\taskmg.exe infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
1919:Tue Apr 19 20:21:49 2005 => File C:\WINDOWS\System32\mtfxcakt.exe infected by "Trojan-Dropper.Win32.Agent.ii" Virus. Action Taken: No Action Taken.
1922:Tue Apr 19 20:21:49 2005 => File C:\WINDOWS\System32\mtuqaaaa.exe infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
2407:Tue Apr 19 20:22:19 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
2515:Tue Apr 19 20:22:26 2005 => File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
2681:Tue Apr 19 20:22:36 2005 => File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
6392:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp11.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
6395:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp12.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
6400:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp13.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
6405:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp2.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6408:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp3.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6411:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp4.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6417:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp8.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6420:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp9.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6423:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmpA.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6426:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmpC.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
13701:Tue Apr 19 20:40:14 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc1.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
13705:Tue Apr 19 20:40:15 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc3.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
13709:Tue Apr 19 20:40:15 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc5.exe infected by "not-a-virus:AdWare.FindSpy.e" Virus. Action Taken: No Action Taken.
16205:Tue Apr 19 20:42:22 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP77\A0033230.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
20003:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043950.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken.
20006:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043951.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken.
20009:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043952.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken.
20012:Tue Apr 19 20:45:11 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043953.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken.
20030:Tue Apr 19 20:45:12 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043969.exe infected by "Trojan.Win32.Agent.ct" Virus. Action Taken: No Action Taken.
28351:Tue Apr 19 20:58:41 2005 => File C:\WINDOWS\system32\mtfxcakt.exe infected by "Trojan-Dropper.Win32.Agent.ii" Virus. Action Taken: No Action Taken.
28354:Tue Apr 19 20:58:41 2005 => File C:\WINDOWS\system32\mtuqaaaa.exe infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
29296:Tue Apr 19 20:59:39 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
29404:Tue Apr 19 20:59:46 2005 => File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
29772:Tue Apr 19 21:00:11 2005 => File C:\WINDOWS\system32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
36544:Tue Apr 19 22:06:39 2005 => File D:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP79\A0033814.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
75427:Tue Apr 19 23:39:50 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8445:Tue Apr 19 20:27:58 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
30344:Tue Apr 19 21:00:59 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30348:Tue Apr 19 21:00:59 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30360:Tue Apr 19 21:01:02 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30528:Tue Apr 19 21:01:58 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
74706:Tue Apr 19 23:38:52 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



tja... das sieht mir nach ner menge arbeit aus :mad:

Gigamail 20.04.2005 11:48

Du solltest unbedingt Dein Windows updaten auf SP 2

Zitat:

Das MicroWorld AntiVirus Toolkit Utility entfernt ab der Version 4.5.1 leider die gefundene Malware nicht mehr automatisch. Hier müssen gefundene Dateien manuell im abgesicherten Modus entfernt werden.
Nur die Kaufversion löscht. Mit Freeware muss von Hand gelöscht werden.

Du hast einige Sachen drauf die unter anderem Passwörter ausspionieren, das sollte dir zu denken geben!
Trojan-Downloader.Win32.Small.aql --> Zitat Antiviruslab:
Allgemeine Beschreibung:
Trojan-Downloader.Win32.Small.aql ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert.
Trojan-Downloader.Win32.Adload.g --> Allgemeine Beschreibung:
Trojan-Downloader.Win32.Adload.g ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert.

Lade Dir LspFix hier
lade Spybot-S&D
und Ad-Aware und update beide Programme

--> boote in den
abgesicherter Modus , deaktiviere die
Systemwiederherstellung ,scanne nach einander mit Spybot und Ad-Aware und lösche alle gefundenen Sachen fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - Startup: PowerReg Scheduler.exe -->Prozess vorher beenden
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)

Datenträgerbereinigung:

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Windowstaste+R --> cleanmgr --> <enter>
Klick bei Temporary Internet Files --> <enter>
Papierkorb leeren

alle Funde für "infected" im Verzeichnis Windows\System32 von Hand löschen
Wenn sie nicht sichtbar sind, folgende Einstellung:Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" ->
Haken entfernen bei "Geschützte Systemdateien ausblenden
(empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Die Dateien in dem Ordner D:\System Volume Information\_restore
sind nach einem Neustart weg
Escan nochmal im abgesicherten Modus laufen
Neu booten neues HJT posten und Ergebnisse von eScan.
Solltest Du Probleme haben ins Netz zu kommen repariere mit LspFix

leandro 20.04.2005 14:29

hallo gigamail,

zum glück habe ich einen zweiten rechner mit dem ich jetzt ins netz gehe... den infizierten lasse ich solange er nicht sauber ist offline !

ich bin grad am "verpesteten rechner" im abgesicherten modus und hab auch die systemwiederherstellung deaktiviert... momentan läuft adaware...

die ganze zeit überlege ich ob ich mir die ganze action sparen und gleich die ganze platte löschen soll ??? da schlimme dabei ist... ich habe einfach zu viele sachen drauf und müsste alles neu installieren und das würde höchstwahrscheinlich noch länger dauern !?!?!?!

ich glaub das alles einfach nicht :mad:

ich melde mich sobald ich mit der säuberung durch bin...

hoffentlich klappt alles :o

bis dann und vielen dank für deine hilfsbereitschaft :party:

tschüüü....

chaosman 20.04.2005 14:39

@leandro
falls du neu aufsetzen möchtest
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


chaosman

leandro 20.04.2005 15:38

@chaosman

vielen dank für den link... ich schau jetzt erstmal ob ich die "trojaner" mit hilfe von adaware, spybot usw... bzw. "manuell" weckbekomme... falls das nicht klappen sollte werde ich mir deinen vorschlag zu herzen nehmen :)

@gigamail

ich bin mit allen punkten fast durch :crazy:

und werde mir demnächst dieses "kaspersky" holen...
dann brauch ich den ganzen "mist" bei nächsten mal (hoffentlich passiert das nie wieder) nicht manuell zu löschen :nixda:

sobald ich die neuen "escan & hijack" Log's habe... melde ich mich wieder !!!

bis dahin

viel erfolg bei der trojaner bekämpfung :koch:

leandro

leandro 20.04.2005 18:26

halloooo,

ich habs endlich hinter mir... alle trojaner sind weck :huepp:

hier ist mein hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:30:55, on 20.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\Hi Jack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe


bei MWAV hab ich nur noch...


Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
83558:Wed Apr 20 16:13:24 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
98974:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
98978:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
98990:Wed Apr 20 16:41:12 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
99158:Wed Apr 20 16:42:08 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
137130:Wed Apr 20 17:59:40 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


jetzt kann ich die Systemwiederherstellung wieder aktivieren oder !?


Das einzige was jetzt noch fehlt... weswegen ich eigentlich hier war/bin...
ist dieses verdammte "desktop.html"

Ich hatte dieses problem schon mal auf meinem alten rechner mit Win2000pro SP4 und der trick mit:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

hat damals funktioniert !!!

Aber jetzt klappts einfach nicht.. wenn ich jetzt die taskleiste auf automatisch ausblenden setze... und auf meinen desktop schaue dann ist sie zwar ausgeblendet aber von meinem alten desktop kann ich trotzdem nichts sehen, nicht mal einen kleinen teil !?!?!?

außerdem kommt noch hinzu... das ich unter den "Eigenschaften für Anzeige" nur noch die Register >>> "Bildschirmschoner und Einstellungen" zur Auswahl stehen habe !?!?!? von desktop oder web ist da nichts zu sehen ???

was mache ich falsch :nixda: ... woran kann das liegen ????

:snyper:

bis bald

lg

leandro


P.S.: mir ist aufgefallen das meinen antiviren prog. & firewall nicht mehr automatisch gestartet werden ? und ändern kann ich das auch nicht ?
da muss noch irgendwas faul sein ?

Gigamail 20.04.2005 20:08

Dein Logfile sieht jetzt sauber aus. Du solltest aber noch den IE updaten. IE nur noch für Windowsupdates verwenden, aber die regelmäßig durchführen.Benutze in Zukunft alternative Browser wie z. B.
http://filepony.de/download-opera/
http://www.mozilla.org/

Funde für "tagged" sind nicht gefährlich.
Für die Desktopgeschichte probiere mal noch folgendes:
START>Einstellungen>Systemsteuerung>Anzeige>Desktop>ganz unten "Desktop anpassen" anklicken>dann auf Web
dort "Security" markieren und dann auf löschen klicken.

da Du schon verschiedene Dateien vorher gelöscht hast kann ich nicht sagen obe vielleicht Systemdateien dabei waren.
Du kannst auch noch das probieren:
Windowstaste+R -->sfc /scannow --> <enter>
Du wirst dann nach der Windows CD gefragt dann werden die systemdateien überprüft und gegebenenfalls repariert

leandro 20.04.2005 22:31

hallo nochmal,

also ich kann es nicht oft genung sagen >>> VIELEN DANK FÜR ALLES !!!

danke für die mühe die du dir gemacht hast und vor allem für deine zeit !!!

auf meinem rechner ist jetzt wieder RUHE eingekehrt :)

leider muss ich dich doch noch mal wegen dieser desktop "pest" löchern :nixda:

vielleicht reden wir ja aneinander vorbei... wahrscheinlich arbeitest du mit Win2000 und kannst mein problem nicht ganz nachvollziehen...

du hast mir beschrieben wie ich bei win2000 zu den Anzeigeoptionen komme !!!

da ich ja winXP benütze schaut die sache ganz anders aus bei mir...

um zu den anzeige optionen zu kommen muss ich ja...

Start > Systemsteuerung > Darstellung und Designs > Anzeige... klicken !!!

ok so weit so gut... normalerweise habe ich sobald sich die "Eigenschaften von Anzeige" öffnen.... mehrere Register zur Auswahl...
das schaut dann "normalerweise" so aus...

Designs > Desktop > Bildschirmschoner > Darstellung > Eintellungen

worauf ich eigentlich die ganze zeit hinaus will... ist...

das bei mir... wenn ich das Fenster "Anzeige" öffne...

nur die Register "Bildschirmschoner und Einstellungen" zur Auswahl stehen !!!

die register "designs > desktop > darstellungen" stehen nicht da wo sie sein sollten !?!?!?!

und aufgrund dessen komme ich nicht dazu auf "desktop anpassen" zu klicken weil ich ja den register "desktop" nicht zur auswahl habe !!!

ich hoffe das war jetzt verständlich genug erklärt :blabla:

ich les jetzt mal alles was mir google zu diesem thema anzeigt, vielleicht hatte ja schon mal jemand dieses problem !

auf jeden fall möchte ich ein großes Lob für das "trojaner-board" aussprechen !!! ohne euch wären wir "User" aufgeschmissen :lach:

bis bald

lg

leandro

Haui45 20.04.2005 23:16

Ich bin deinem Problem auf der Spur (hoffe ich zumindest) ;)

Win-Taste + R -> regedit -> Enter

Navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Solltest du dort den Eintrag "NoThemesTab" finden, mach bitte folgendes: Rechtklick darauf-> Ändern-> Wert auf 0 stellen -> OK
Designs sollte wieder erscheinen.

Das Gleiche mit
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage
Desktop sollte wieder erscheinen (Rechtsklick auf NoDispBackgroundPage und Wert ändern)


Sollte es funktionieren, schau ich auch mal ob ich den Eintrag für "Darstellungen" noch finde, hab keine Lust mehr das RegMon-Log durchzuschauen...

P.S: Ich hafte für nichts! (obwohl es eigentlich relativ gefahrlos ist)


EDIT: Prüfe das auch noch für diesen Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage
Falls vorhanden auch auf 0 stellen.

Falls jmd. einen besseren Vorschlag hat: nur her damit ;)

EDIT2: Eigentlich müsste es sich nur um diese beiden handeln:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage

mmk 20.04.2005 23:29

Zitat:

Zitat von leandro
P.S.: mir ist aufgefallen das meinen antiviren prog. & firewall nicht mehr automatisch gestartet werden ? und ändern kann ich das auch nicht ?
da muss noch irgendwas faul sein ?

Ist das noch immer der Fall?

Cidre 20.04.2005 23:41

@ll

Ein sehr guten Lösungsweg zu diesem Problem, könnt ihr im Post von Pieter_Arntz nachlesen.

Meine Vorschläge:
Entweder dies oder jenes ausführen und zwar so:
Rechtsklick auf einen der Links -> Ziel speichern unter... -> z.B. der erste Link: 'webtabmissing.reg' unter C:\ abspeichern -> Doppelklick auf 'webtabmissing.reg' und nachfolgende Frage mit 'Ja' bestätigen.

Normalerweise müssten danach alle Reiter wieder zur Verfügung stehen.

EDIT:
Eine ausführliche Erklärung bzw. Auswirkungen zu den einzelnen Einträgen im Reg Key [1] findest du hier:
http://www.pc-tips.ch/registrytip.php
[1] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Da die o.g. Seite momentan leider auf dem Server nicht mehr erreichbar ist, werde ich den Inhalt temporär aus meinem Cache zur Verfügung stellen!
Code:


       
Zitat:

       
       
               
       
       

                       

                       
                                Registry-Tips                       
                       
Eintrag                Datentyp        Wert        Auswirkungen
                       
Funktionen aus dem Startmenu ausblenden                       
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer                       
                       
NoRun          DWORD        1        Ausführen wird nicht mehr angezeigt
NoFind        DWORD        1        Suchen wird nicht mehr angezeigt
NoClose        DWORD        1        Herunterfahren wird nicht mehr angezeigt
NoSetFolders        DWORD        1        Systemsteuerung und Drucker werden nicht mehr angezeigt
NoStartMenuSubFolders        DWORD        1        Alle Ordner werden auf dem benutzerspezifischem Abschnitt ausgeblendet
NoSetTaskbar        DWORD        1        Taskleiste wird unter Einstellungen nicht mehr angezeigt
NoCommonGroups        DWORD        1        Die allgemeinen Programmgruppen erscheinen im Startmenu nicht mehr
NoBanner        DWORD        1        Das Startbanner wird deaktiviert (Win98)
NoStartBanner        DWORD        1        Es erscheint kein "Klicken Sie hier...." mehr
NoTrayContextMenu        DWORD        1        Kein Kontextmenu bei Rechtsklick auf Taskbar, Start-Button und Uhr
NoSetActiveDesktop        DWORD        1        Kein ActiveDesktop mehr unter Start-Einstellungen (Win98)
NoFolderOptions        DWORD        1        Keine Ordner-Optionen mehr unter Start-Einstellungen und Explorer
NoFavoritesMenu        DWORD        1        Keine Favoriten im Startmenu
NoRecentDocsMenu        DWORD        1        Keine "Dokumente" im Startmenu
NoChangeStartMenu        DWORD        1        Kein Start-Menu
NoWindowsUpdate        DWORD        1        Kein Windows-Update unter Start-Einstellungen (Win98)
NoLogoff        DWORD        1        Kein "User Abmelden" unter Start
NoSMHelp        DWORD        1        Keine Hilfe im Start-Menu (Win2000)
NoControlPanel        DWORD        1        Keine Eigenschaften im Kontextmenu (Desktop, Arbeitsplatz, Netzwerk, IE, Outlook)
NoRecentDocsHistory        DWORD        1        Es werden unter Start-Dokumente keine Einträge mehr hinzugefügt
NoSMMyDocs        DWORD        1        Kein Eintrag "Eigene Dateien" unter Start-Dokumente
ForceStartMenuLogoff        DWORD        1        "Username abmelden" wird zum Startmenu hinzugefügt (nach StartmenuLogoff)
NoRecentDocsNethood        DWORD        1        Es wird keine History für das Netzwerk angezeigt
                       
Funktionen zur Netzwerksteuerung ausblenden                       
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network                       
                       
NoFileSharing        DWORD        1        Keine "Freigaben" im Netzwerk werden freigegeben
NoPrintSharing        DWORD        1        Keine Drucker im Netzwerk werden freigegeben
NoNetSetup        DWORD        1        Netzwerksetup aus der Systemsteuerung wird entfernt (Win98)
NoNetSetupIDPage        DWORD        1        Identifikation aus der Netzwerkumgebung wird ausgeblendet
NoNetSetupSecurityPage        DWORD        1        "Zugriffsteuerung" aus der Systemsteuerung-Netzwerke wird entfernt
NoDialIn        DWORD        1        Der Zugriff auf den Rechner via Modem wird deaktiviert
NoEntireNetwork        DWORD        1        Gesamtes Netzwerk fehlt, nur noch Computer in der Arbeitsgruppe ersichtlich
NoWorkgroupContents        DWORD        1        Mitglieder der Netzwerk-Arbeitsgruppe werden nicht mehr in der Netzwerkumgebung angezeigt
DisablePwdCaching        DWORD        1        Kennwörter lassen sich nicht mehr in der PWL-Datei speichern
                       
Funktionen des Desktops ausblenden                       
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer                       
                       
NoSaveSettings        DWORD        1        Der Desktop wird beim Verlassen nicht mehr gespeichert
NoDesktop        DWORD        1        Alle Desktop-Icons werden nicht mehr angezeigt
NoPrinterTabs        DWORD        1        Drucker-Ordner ist nicht vorhanden
NoDeletePrinter        DWORD        1        Drucker können nicht gelöscht werden
NoAddPrinter        DWORD        1        Es können keine neuen Drucker installiert werden
NoInternetIcon        DWORD        1        Kein Internet-Symbol auf dem Desktop
NoNetHood        DWORD        1        Keine Netzwerkumgebung auf dem Desktop
NoFileSharingControl        DWORD        1        Datei- und Druckerfreigabe des Netzes wird ausgeschaltet (Win98)
NoNetworkConnections        DWORD        1        Netzwerk- und DFÜ-Verbindungen werden aus dem Start-Menu ausgeblendet
NoDesktopUpdate        DWORD        1        Das Anlegen von neuen Verknüpfungen auf dem Desktop ist nicht mehr möglich
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop                       
                       
NoHTMLWallpaper        DWORD        1        Es sind keine HTML-Hintergrundbilder mehr möglich
NoChangingWallpaper        DWORD        1        Die Hintergrundbilder können nicht mehr geändert werden
NoMovingBands        DWORD        1        Die Grösse der Symbolleisten kann nicht mehr geändert werden
                       
Funktionen der Systemsteuerung - System ausblenden                       
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System                       
                       
NoVirtMemPage        DWORD        1        Die Schaltflöche "Virtueller Arbeitsspeicher" wird ausgeblendet
NoFileSysPage        DWORD        1        Schaltfläche "Dateisystem" wird deaktiviert
NoConfigPage        DWORD        1        Einstellung für die Hardwareprofile wird ausgeblendet
NoDevMgrPage        DWORD        1        Der Geräte-Manager wird ausgeblendet
NoAdminPage        DWORD        1        Die Remote Admin Seite wird deaktiviert
NoProfilePage        DWORD        1        Die Profil Seite wird deaktiviert
NoPwdPage        DWORD        1        Die Passwort-Seite wird deaktiviert
                       
Diverses                       
                       
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer                       
                       
AlwaysUnloadDLL        REG_SZ        1        Nichtbenötigte DLL-Files werden sofort aus dem Speicher gelöscht
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer                       
                       
ClearRecentDocsOnExit        DWORD        1        Dokumente, MRU-Liste und URL-History werden beim Beenden automatisch gelöscht
                       
HKEY_CURRENT_USER\Control Panel\Desktop                       
                       
MenuShowDelay        REG_SZ        400        Zeitverzögerung in Millisekunden für das Oeffnen des Startmenus einstellen
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer                       
                       
NoWinKeys        DWORD        1        WinTaste + (Buchstabe) deaktivieren
                       
HKEY_CURRENT_USER\Software\Policies\Windows\System                       
                       
DisbaleCMD        DWORD        1        Kommandozeilenoberfläche (CMD) deaktivieren (WinNT/2000/XP))
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System                       
                       
DisbaleRegistryTools        DWORD        1        Start des Registry-Editors unterbinden (GEFÄHRLICH!!!!)
                       
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetExplorer\Cache\Content                       
                       
Cachelimit        REG_BINARY        0        Internet Explorer ohne Cache nutzen
                       
HKEY_LOCAL_MACHINE\Network\Logon                       
                       
MustBeValidated        DWORD        1        Button "Abbrechen" bei der Win98-Anmeldung deaktivieren (nur mit NT-Domäne)
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System                       
                       
DisableTaskMgr        DWORD        1        Der Task-Manager kann nicht mehr aufgerufen werden
                       
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon                       
                       
DontDisplayLastUserName        REG_SZ        1        Beim Anmelden wird der zuletzt angemeldete User nicht angezeigt
                       
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion (Win98)                       
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion(WinNT/2000)                       
                       
RegisteredOwner        REG_SZ        Name        Registrierter Name kann geändert werden
                       
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup (Win98)                       
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion (WinNT/2000)                       
                       
Sourcepath        REG_SZ        Pfad        Source des Installations-Verzeichnisses anpassen
                       
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion                       
                       
ProgramFilesDir        REG_SZ        Pfad        Standard-Installations-Pfad für Programme anpassen
                       
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects                       
                       
                        Diesen Schlüssel löschen, falls die Taskleiste nicht mehr angezeigt wird
Copyright by pc-tips.ch                       
                       
                       

               


Quelle: http://www.pc-tips.ch/registrytip.php

Haui45 20.04.2005 23:47

Ich glaub auch, dass Cidres Lösung die bessere ist.
Aber ich war auf dem richtigen Weg und wenn man die Einträge in den .reg-Datein anschaut, kann man durchaus Gemeinsamkeiten erkennen ;)
Das nächste Mal mach ich mir nicht mehr die Arbeit das alles rauszufinden/-schreiben. :p Da such ich dann auch mal bei Google :lach:

leandro 21.04.2005 02:34

hallo,

also ich muss schon sagen >>> saubere arbeit jungs :party:

ich hab jetzt "restore all display tabs" runtergeladen und ausgeführt...
und siehe da... alle meine register sind wieder da :huepp:

leider musste ich nach kurzer zeit feststellen das ich mich mal wieder zu
früh gefreut habe...

ich habe eine gute und eine schlechte nachricht :headbang:

nachdem ich ja jetzt alle register wieder habe... konnte ich unter
desktop > desktop anpassen > web
den eintrag "security" löschen

aber...

jetzt hatte ich zwar einen komplett schwarzen desktop...
ohne "You're in danger" blablabla...
kann aber jetzt leider überhaupt keinen hintergrund mehr auswählen ???

hahahahha das darf nicht wahr sein...

ich weiß nicht ob ich lachen oder weinen soll :lmaa:

wenn ich jetzt unter "eigenschaften von anzeige" auf den register "desktop" klicke... dann steht dort unter dem bildschirm "normalerweise" in dunklen buchstaben

Hintergrund:

und darunter ist ein fenster in dem sich die von windows vordefinierten hintergründe befinden...

jetzt ist aber bei mir dieser "hintergrund" in "grauen buchstaben" das heißt sozusagen "deaktiviert" und ich kann mir deswegen keinen hintergrund aus dem fenster darunter aussuchen !?!?!?
außerdem ist auch der "durchsuchen" -button in grauen buchstaben d.h. ich kann den auch nicht benützen !?!?!?!?

was geht denn da ab ??? wahnsinn... eins muss man dem bill schon lassen...
abwechslungsreich ist sein windows auf jeden fall *lach*
man erlebt jeden tag eine neue überraschung :crazy:

aber mal spaß bei seite...

ich muss wahrscheinlich wieder irgendeinen registrierungs-schlüssel ändern damit das wieder funktioniert !?

ich google mal ein bißchen durch die gegend... wahrscheinlich hatte schon jemand das gleiche prob.!!!

Ach ja, bevor ichs vergesse...

seitdem ich diese trojaner hatte... ich habs im letzten post schon mal angesprochen... wird mein Antivirenprog. & meine firewall nicht mehr automatisch gestartet ??? d.h. ich hab schon versucht... in den voreinstellungen von meiner firewall das häckchen bei "beim Systemstart laden" zu setzen... aber das häckchen taucht kurz auf und verschwindet sofort wieder :mad: hahhahaha das gibts ja wohl nicht ???

bei meinem Antivirenprog. sind alle häckchen gesetzt d.h. bei

- enable auto-protect
- start auto-protect when windows starts up
- show the auto-protect icon in the tray

aber sobald ich das AV-prog. schließe verschwindet es komplett...
früher hatte ich es immer im "tray" da wußte ich das es läuft, aber jetzt verschwindet es ganz... sobald ich es schließe ???

also bei mir stimmts leider immer noch hinten und vorne nicht :headbang:

kann nur hoffen das ich nicht der einzige bin der diesen krampf hat/hatte!

es ist mittlerweile 3.24 in der früh und ich hocke immer noch vor der kiste... das ist nun der 3 tag in folge... vielleicht sollte ich die kiste einfach ausm fenster schmeissen *grummel*

aber morgen ist ein neuer tag... kommt zeit kommt rat :nixda:

also gute nacht allerseits...

mir reichts für heute!


lg

leandro

leandro 21.04.2005 16:33

hallo,

ich hab jetzt mal den Reg-key >>>

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper auf 0 geändert... aber das hat auch nichts gebracht !?!?!?!?

Wahrscheinlich wird >>> "format c:" das beste sein !!!

Ich hab wirklich keinen bock mehr, meine zeit zu vertrödeln :pukeface:

Auf jeden fall dank ich euch für eure hilfsbereitschaft und wünsche allen viel erfolg beim ausrotten der trojaner :kloppen:

bis dann

lg

leandro

Sosurfer 22.04.2005 10:02

Also ich habe eben dieses Problem mit dem "Danger"-Desktop-Webelement auf einem Kundenrechner.
Die Möglichkeit dieses ("Security" unter Desktop-Web) zu löschen habe ich schon bevor ich mich auf die Suche hier im Forum begeben habe angewendet, jedoch kehrt das Problem nach einem Neustart wieder.
Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet.
Leider ohne Erfolg.
Spybot und Adaware bringen mich - wie hier bereits erwähnt - auch zu keiner Lösung.
Da es sich wie oben erwähnt um einen Kundenrechner handelt - welches nicht der erste und mit Sicherheit nicht der letzte ist - halte ich die :kloppen: -Methode "format c:" nicht für eine angebrachte Lösung.
Gut wäre eine zuverlässige - evtl auch vom Kunden selbst anwendbare !? - Methode diese "Sicherheitwarnung" ohne neuaufsetzen des Systems in den Griff zu bekommen.
Im Voraus vielen Dank für die Bemühungen!

chaosman 22.04.2005 10:37

@Sosurfer
Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet.

fixen alleine hilft nichts wenn man anschließend diese datei nicht löscht.
poste ein HJT logfile.
hast du Cidres Lösungsvorschläge durchgelesen?


chaosman

Sosurfer 22.04.2005 11:07

1. Habe so ziemlich alle Anleitung hier studiert.

2. Mein Vorgehen:
- Systemwiederherstellung deaktiviert
- Eintrag "Security" unter "Desktop anpassen" - "Web" gelöscht
- im abgesicherten Modus (als der Benutzer mit dem problem angemeldet) mit Hijack den "O4 - ... \spoolsrv32.exe" gefixt
- C:\Windows\Web\desktop.html gelöscht (in C:\Windows\ befand sie sich nicht!?)
- Neustart ---->>> "You're in Danger"-Web-Hintergrund erscheint wieder
(gleiche Vorgehensweise auch als Admin durchgeführt)

3. Das Log-File

------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:54:49, on 22.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\zqihcfh.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.herpa.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.22.1.14:8080
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7CB4AA09-84CD-36CD-9682-6258A2104F3D} - C:\WINDOWS\iphr.dll (file missing)
O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Device\cm20.exe
O4 - HKLM\..\Run: [tdpmx] c:\windows\system32\tdpmx.exe /nocomm
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [winde] c:\windows\system32\winde.exe /nocomm
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [gmbpok] c:\windows\system32\gmbpok.exe
O4 - HKLM\..\Run: [HQTKHYIQ] c:\windows\system32\hqtkhyiq.exe /install
O4 - HKLM\..\Run: [qbgbyz] c:\windows\system32\zqihcfh.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [Awei] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ttor.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Ebates - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=hxxp://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&hxxp://www9.volvo.com/truck/3dtruckconfigurator2/all/fh16.asp
O16 - DPF: {067D7797-04FC-42B1-92DB-81FC6CD318FD} (Dlctrl) - hxxp://www.eingang69.de/EroticAccess/Ocx/dlctrl2.ocx
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - hxxp://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {4B6E3013-6E45-11D0-9309-0020AFE05CC8} (blaxxun CC3D) - hxxp://www.blaxxun.com/download/contact/cab/blaxxunCC3D.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - hxxp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1034_EN_XP.cab
O16 - DPF: {5B82FA31-6AC7-15E7-6613-61BE5B32CC1B} - hxxp://69.50.182.94/1/rdgDE1342.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110125652203
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - hxxp://www.globalphon.com/dialer/internazionale_ver4.CAB
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} - hxxp://www.bcnx.com/SunInfoConnect_www.bcnx.com_medium.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - hxxp://www.eingang69.de/EroticAccess/exe/access_special.ocx
O18 - Filter: text/html - {554255B4-C494-4212-8B00-3388B8C2374A} - C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Network Security Service (__NS_Service_3) - Unknown owner - C:\WINDOWS\apimy.exe (file missing)
--------------------------------

Ja da liegt auch noch mehr im Argen, ich weiß. Hauptaugenmerk aber dieser spezielle Fall.

Gigamail 22.04.2005 11:59

Hi Sosurfer

Zitat:

Ja da liegt auch noch mehr im Argen,...
das kannst Du laut sagen! Scanne mal mit escan

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen:

"öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
Wenn du dir das einzeln suchen ersparen willst:
Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)

Haui45 22.04.2005 18:00

@leandro
Versuch's mal noch mit diesem Pfad
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper
Wert auf 0 stellen.
Als ich es ausprobiert habe traten die von dir beschriebenen Symptome auf.

Fishbone 25.04.2005 13:26

Das hatte ich auch.....mach unter systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web den Haken da raus und lösch des dann.

Greetz

Michael Pacher 06.05.2005 20:27

:(

Ich hab das problem auch ich werd mal so ne Log-file erstellen und sie rein posten !

Michael Pacher 06.05.2005 20:43

Hier is meine log-file !!!!!!

-------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:42:02, on 06.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\sys1218.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://w-find.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://w-find.com/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://w-find.com/index.htm
R3 - URLSearchHook: (no name) - {269B6797-664E-48AA-B283-B012BDF6E525} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file)
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: FlashEnhancer Extnder - {A749B4BC-7621-4a80-9220-D0A283367DD5} - c:\Program Files\Fln\fln.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CIPWGMT] C:\WINDOWS\CIPWGMT.exe
O4 - HKLM\..\Run: [HSNXFPZKU] C:\WINDOWS\HSNXFPZKU.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [IFSplash] ImmSplsh.exe
O4 - HKLM\..\Run: [FlnCPY] "C:\Program Files\Common Files\Java\flncpy.exe"
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [sys1218] C:\WINDOWS\sys1218.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [aircity] C:\WINDOWS\system32\aircity.exe
O4 - HKCU\..\Run: [wupdate] C:\WINDOWS\system32\wi32.exe
O4 - HKCU\..\Run: [sys1218] C:\WINDOWS\sys1218.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - hxxp://www.7adpower.com/dialer/austria.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - hxxp://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - hxxp://secure.goodthinxx.com/(cblbwa45hoocqh55cf1g4luv)/secureweb/securewebgt.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - hxxp://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - hxxp://e2give.com/downloads/UGO20.exe
O18 - Filter: text/html - {0FBA5BB4-15E4-491D-A68B-BB63BED3001A} - C:\Dokumente und Einstellungen\Margret\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

patrik1225 06.07.2006 09:41

hallo,

ich habe ein grosses problem...seit ein paar tagen habe ich dasselbe problem..ein weisses viereck ist auf meinem desktop!und es geht nicht weg egal was ich tue...bei eigenschaften ist zu erkennen da es ein file protokoll ist :
file://C:\WINDOWS\desktop.html

ich habe keine ahnung wie ich das weg bekomme...
ich habe mir alle beiträge durchgelesen aber ich kenne mich mit diesen sachen von computern gar nich aus und weiss auch nicht was eine logfile ist bzw wie ich das eingebe...ich glaube ich bin ein hoffnungsloser fall...

es wäre super toll wenn mir irgendwie jemand helfen könnte...ich weiss nämlich nich was ich tun soll...

canadian1984@hotmail.de

Vanitas 20.09.2008 07:45

ich denke ich habe den virus wieder wegbekommen - jedenfall wird mir bei hijack this nichts mehr angezeigt und auch andere scanner finden nichts mehr - aber das desktop bild kommt nicht wieder

der tipp security deaktivieren in den einstellungen kann ich schlecht befolgen denn bei mir gibt es da keine solche schaltfläche zum deaktivieren

P.S. ich hab mir den virus zweimal eingefangen - beidemale mit opera - I.E. nutze ich nicht und mit firefox gab es da noch kein problem

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:44:38, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\wok\NVIDIA~1\Apache Group\Apache2\bin\apache.exe
C:\wok\NVIDIA~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\wok\TightVNC\WinVNC.exe
C:\wok\NVIDIA~1\Apache Group\Apache2\bin\apache.exe
C:\wok\NVIDIA~1\bin\nSvcIp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\wok\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Outlook Express\msimn.exe
C:\wok\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.test.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: SimonTools - {CC48EB38-F950-48C0-9F22-D64F829AE3DF} - C:\wok\CyberGhost\tbcghost.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinVNC] "C:\wok\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [TBPanel] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [DAEMON Tools] "C:\wok\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\wok\BitSpirit\bsurl.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\wok\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\wok\ICQ\ICQ.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\wok\NVIDIA~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\wok\NVIDIA~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\wok\TightVNC\WinVNC.exe

--
End of file - 3471 bytes

P.S. C:\wok ist ein verzeichnis für die meisten meiner programme


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131