file://C:\WINDOWS\desktop.html wie geht das weg )
 

Huhu kurze frage,

Seit neusten Ist mein Desktop Bild nicht mehr zu sehen, dort befindet sich eine Homepage seite mit Links die ich anklicken kann. Die Icons "Papierkorb" "Netzwerkumgebung" etc. sind alle noch vorhanden und anklickbar (nur der Arbeitsplatz ist verschwunden). Oki wenn ich jetzt auf dem Desktop rechtsklick eigenschaften mache, werden die eigenschaften dieser Html. seite angezeigt die über meinem Desktop bild und unter den Desktop icons sich befindet. Dorst steht das es sich um die datei handelt:

file://C:\WINDOWS\desktop.html

Jetzt habe ich die gelöscht, doch jetzt ist der Desktop einfach nur weiss mit den Icons.

Habts vielleicht ein Tipp ? :)

Hallo Silverdrug,

Du bist Opfer des Browser-Hijackings geworden. Wir werden tun, was wir können, um Dir zu helfen. Erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es. Anhand des Logfiles können wir erkennen, welche Einträge auf Deinem System gefixed, also entfernt werden müssen, damit Dein Rechner wieder so läuft, wie Du es gerne hättest.

Lieben Gruss
SD

Logfile of HijackThis v1.98.2
Scan saved at 09:03:31, on 03.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099179463687

Also ich kenne mich ja nicht so gut da aus. aber auf dem log konnte ich erstemal nix finden, vielleicht habts ja nen Tip :)

@Silverdrug

im log sehe ich nichts besonderes, hast du schon mal versucht dein desktop ansicht zu veränder?
und danach neu zu booten?
ist dein desktop dann wieder weiß?

chaosman

ich habe das problem auch und weis nicht weiter ...
HILFE !!!!

Evtl. hilft ein Blick unter den Anzeige-Eigenschaften (zur Not über die Systemsteuerung). Dort "Desktop" - "Desktop anpassen" - "Web" mal unter die Lupe nehmen und evtl. anpassen / bereinigen.

Gruß :daumenhoc
Yopie

@Phalanx

poste doch mal ein logfile mit Hijackthis http://www.hijackthis.de/


chaosman

ne das bringt nix
ich schreibe mal den queltext der angezeigten seite vielleicht bringt das etwas

ps neustart hilft leider nicht :(


<html><style>td {font: 14px Arial; color: white}</style><body bgcolor=black><table width=100% height=100%><td align="center"><table onclick="window.open('http://213.159.117.130/?affid=NAT-13');" style="cursor:hand" width=640 height=470 cellpadding=0 cellspacing=0 style="border:1px dashed gray"><tr><td bgcolor=black valign="top">

<table width=640>
<tr><td width=120 rowspan=2><td><span style="font: bold 26px Arial; color: yellow;">WARNING!</span></td></tr>
<tr><td><span style="font: bold 30px Arial; color: white;">YOU'RE IN DANGER!</span></td></tr>
</table>

<br><br><div style="padding:10"><strong>ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.</strong><br><br>Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - <font color=yellow>ARE STILL THERE</font> and could broke your life!<br><br><p style="font: bold 24px Arial; color: yellow; margin-left:110">SECURE YOURSELF RIGHT NOW!</p></div></td></tr><tr><td><table width="100%" bgcolor="gray" cellpadding="10"><td align=center><a href="#" onclick="return false" style="color:black">Removal instructions</a></td></table></td></table></td></table></body></html>

das ist mein log text

Logfile of HijackThis v1.98.2
Scan saved at 21:26:59, on 03.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SVHOST.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rmctrl.exe
C:\windows\system32\taskmgn.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HiJacker tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [EumexInst] REM "G:\Setup.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] REM "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [zshov] REM C:\WINDOWS\zshov.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] REM "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19389e46...dxIE601_de.cab

Dein Windows ist nicht aktuell!

Laut der automatischen Auswertung auf hijackthis.de bist Du mit RBOT.QG infiziert!

Ich rate Dir zu einer Neuinstallation!
Warum: http://oschad.de/wiki/index.php/Kompromittierung
Wie: http://board.protecus.de/showtopic.p...me=1097944155&

Gruß :daumenhoc
Yopie

erst mal möchte ich allen danke für die tolle hilfe von euch und werde dir ratschläge gleichmal in die tat umsetzen ( wenn ich die xp cd gefunden habe :lach: )
BIG THX

habe noch was neues

ps ich habe bemerkt das es den anschein hat als würde sich das POPUPDING neuladen ( es blink von zeit zu zeit )

Juhuu,
alsoooo anleitung wie man des wegbekommt:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

Siehe auch http://www.trojaner-board.com/showpo...59&postcount=7 in diesem Thread. ;)

Gruß :daumenhoc
Yopie

ein dickes dankeschön an alle ( again :D ) endlich ist das ding weg hehe

von mir auch ein dickes DANKE,,, endlich wieder einen cleanen PC
:party:

ich kann nicht mehr seit einer woche habe ich auch das selbe problem wie bekomme ich denn den mist weg bitte helf mir!! :p

@ speedy04,

lies einfach diesen Thread und mach das, was die anderen herausgefunden haben .... http://www.cosgan.de/images/smilie/haushalt/h042.gif

Sollte das nicht reichen, bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html erstellen und posten ... die Auswertung erfolgt allerdings erst heute früh.

SD

Hmm mich hats auch erwischt, den Desktop hab ich auch gecleant, aber was meint ihr hierzu:

Logfile of HijackThis v1.99.0
Scan saved at 17:24:13, on 16.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\soundman.exe
C:\Programme\D-Tools\daemon.exe
D:\PUZZLE~1\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Software\software.exe
C:\WINDOWS\gkxai.exe
C:\Programme\ISTsvc\istsvc.exe
E:\Programme\bluetooth-Software\BTTray.exe
E:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
E:\Programme\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\bluetooth-Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\winrar\WinRAR.exe
C:\DOKUME~1\Messer\LOKALE~1\Temp\Rar$EX00.187\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Supernova] C:\WINDOWS\Hello-Kitty.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\PUZZLE~1\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [Software] C:\WINDOWS\System32\Software\software.exe
O4 - HKLM\..\Run: [Cw6B4OW] C:\WINDOWS\gkxai.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvuww32.exe
O4 - HKLM\..\Run: [lmu] C:\WINDOWS\LMU.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - E:\Programme\bluetooth-Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\bluetooth-Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\bluetooth-Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.finefind.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: v3cab - http://searchmiracle.com/cab/2.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net...b/15yf09fg.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download2.abetterinternet.com...5/payload2.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download2.abetterinternet.com...106/button.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_41.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24fae64f...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta...soesysinfo.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\System32\lmf32v.dll
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - E:\Programme\bluetooth-Software\bin\btwdins.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten
11) Alle Passwörter auf dem neuen sauberen System ändern.

hallo ,

ich habe das selbe problem . Ich habe einen link angeklickt und dann war da eine komische Meldung auf meinem Desktop.Ich habe dann die Datei file://C:\WINDOWS\desktop.html gelöscht . Dann ist diese komische Meldung weggegangen , aber nun ist mein Desktop zum Teil weiß/beige . und das geht nicht mehr weg.Muss ich meinen pc jetzt formatieren , oder kann man dieses problem auch anders wegmachen??

Danke für diese guten erklärungen! hab es jetzt geschafft es weg zu machen!! jippie! danke sehr :bussi:

Mir geht es genau so, aber leider habe ich keinerlei große Computererfahrung. Also cih will mal beschrieben wie das bei mir ist. Mir ist folgendes passiert:
Ich bin auf eine Website gegangen dann kann da so ne seite von smar security (was immer das auch ist). Dann hatte ich das auch als Destkopelement, dieses "Your in Danger!", das konnte ich löschen jetzt hab ich so nen papyrusfarbenen Hintergrund der sich manchmal mit nem weißen Hintergrund abwechselt sozusagen. Und ich hab leider kaum Erfahrung und Ahnung könntet ihr mir das bitte genau erklären ja?? Das wäre voll wichtig und so cool wenn ihr das machen würdet!!!

Daniel

Hast du denn das, was hier in dem Thread beschrieben ist, schon probiert?
Z.BSp:

"1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen"


Ansonsten brauchen wir erst mal mehr Informationen über deinen Rechner, erstelle ein Hijackthis-Log:

http://www.hijackthis.de/forum/showthread.php?t=17

und poste es hier in das entsprechende Forum in einen neuen Thread, weil es sonst zu unübersichtlich wird.

oh ja danke ne noch nciht mach ich am besten mal thx

cool thx das klappt cool ich fertige trotzdem ncoh mla das protokoll an!!!

hatte das selbe problem und habe soeben die lösung gefunden!:
Systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web und dort "security" löschen, eigentlich ganz simpel :daumenhoc

So, mich hats soeben auch erwischt und die Ratschläge mit dem Löschen von "security" haben auch funktioniert, aber leider nur bis zum nächsten Restart.
Habe meine Lofile auf dieser HomePage durchchecken lassen und 4 dieser als "böse" bezeichneten objekte lassen sich einfach nich Löschen. Sobald ich nochmal scanne sind sie wieder da.
Hier mal die Log-File:
(alles was mit 015 anfängt ist "böse)

Logfile of HijackThis v1.99.1
Scan saved at 17:41:06, on 07.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Privat\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Network Security Service (NSS) (�%AF夶À¨) - Unknown owner - C:\WINDOWS\ipot32.exe (file missing)

Pls HELP!!!

@ MatzeBrown

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und führe dies aus -> http://www.trojaner-board.de/showpos...6&postcount=31

Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf Network Security Service (NSS) (�%AF夶À¨) -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
Alle O15 und O16
O23 - Service: Network Security Service (NSS) (�%AF夶À¨) - Unknown owner - C:\WINDOWS\ipot32.exe (file missing)

Lösche diese Dateien:
C:\WINDOWS\ipot32.exe
C:\WINDOWS\System32\spoolsrv32.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- Neustart
- dein System updaten (SP2 installieren) http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

Hallo erstmal !

Hatte das gleiche Problem !

Das mit dem Desktop habe ich durch eure Hilfe wieder hin bekommen.

Meine Startseite wird aber immer wieder geändert und danach sieht der Desktop wieder genauso aus, ausserdem habe ich in der Schnellstartleiste ein Ausrufezeichen und es machen immer wieder Seite auf von irgenwelchen Sexseiten !

Ausserdem geht immer wieder ein Fenster auf mit "Error #317" irgendwelche Viren wurden erkannt , wenn man darauf klickt kommt man auf eine Seite auf der man Spy- und Antiviren Programme kaufen kann.



Hier mein hijackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 16:41:10, on 17.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Downloads\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: concept/design's onlineTV - {B8B1BEA5-F4C0-4AC9-A9A2-9EB76C8C12BD} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094472381044
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://grempf1000.dyndns.org:10002/a...CamControl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@crossie
du hast den hier im system
http://www.sophos.de/virusinfo/analyses/trojspyrea.html
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

system und IE updaten
wechsle danach in den abgesicherten modus und fixe mit HJT
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

lösche danach manuell
C:\PROGRA~1\FlashGet\JetCar.exe
C:\PROGRA~1\FlashGet\jc_link.htm
C:\WINDOWS\System32\spoolsrv32.exe
C:\PROGRA~1\FlashGet\jccatch.dll
lösche ordner
C:\PROGRA~1\FlashGet
neu booten, neues HJT logfile posten
Flashget läuft mit werbung, nimm lieber LeechGet oder getRight
chaosman

Geht leider immer noch nicht !

Hier der Log :

Logfile of HijackThis v1.99.1
Scan saved at 18:14:22, on 21.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Downloads\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: concept/design's onlineTV - {B8B1BEA5-F4C0-4AC9-A9A2-9EB76C8C12BD} - C:\Programme\onlineTV\onlineTV.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094472381044
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://grempf1000.dyndns.org:10002/a...CamControl.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

schau Dir diesen Thread mal an:

http://www.trojaner-board.de/showthr...2&page=2&pp=10

dartus

Hallo Trojanervirenwurm-Geplagte..

Ich hatte mir auch die Desktop-Warnung "YOU'RE IN DANGER" eingefangen und wurde von weiteren Plagegeistern, die auch in diesem Thread erwähnt werden, beglückt (dreieckiges gelbes Programmpiktogramm mit Ausrufezeichen und Popup-Fenstern, automatische Verlinkung auf eine Webseite mit AntiSpyware-Programmen).

Dank des Beitrages von <chaosman> bin ich den Wahnsinn nun wieder los - Ächz!

Es sind mir beim Durcharbeiten des Threads aber so viele Besonderheiten aufgefallen, daß ich mich entschlossen habe, diesen Beitrag zu schreiben.

Die erste Frage, die ich mir stellte, war, ob die vielen Warnungen, mit denen man es zu tun, irgendwie im Zusammenhang mit WINDOWS stehen. Wenn ich es jetzt richtig verstanden habe, ist nichts davon Microsoft zuzuschreiben, sondern allein die Ausgeburt des Trojaner-Erstellers (insbesondere das dreieckige gelbe Programmpiktogramm gibt sich textuell als Windows-Servicemeldung aus).

1. Wiederholt wird im Thread empfohlen, den Eintrag "Security" in der Web-Karteikarte von Desktop anpassen (Programm Anzeige) zu deaktivieren.
M.E. entfernt das zwar das nervige Desktopbild und bringt das eigene Hintergrundbild wieder zum Vorschein, ist aber eine reine Teilsymptombekämpfung und vermutlich völlig unnötig, wenn man den Trojaner gleich richtig entfernt.

2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können.

3. Der nützliche Verweis von <chaosman> auf http://www.sophos.de/virusinfo/analyses/trojspyrea.html hat mich ganz schön verwirrt. Dort soll nämlich die <runsrv32.dll> der Übeltäter sein.
Ich hatte aber keine solche Datei auf meinem Rechner (zumindest nach Durchlauf von SpybotSD).
Stattdessen die von <chaosman> beschriebene C:\WINDOWS\System32\spoolsrv32.exe

4. Der Beitrag von <chaosman> ist ja auf einen bestimmten User zugeschnitten. Ich brauchte eine Weile, um zu kapieren, daß in dem Beitrag die Behebung von 2 unabhängigen Problemen beschrieben wird.

In meinem Fall ging es nur um <O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe>
Alle Hinweise zu <FlashGet> waren für mich irrelevant und stehen m.E. nicht im Zusammenhang mit dem hier diskutierten Trojaner "Spyre-A".

5. Nach dem Fixen&Löschen im abgesicherten Modus dauerte es ewig, bis mein Rechner wieder hochgefahren war. Das Hintergrundbild war als Einziges minutenlang zu sehen. Hab dann noch mal runter&raufgefahren, jetzt ist gottseidank wieder alles normal.

Danke nochmal an alle, die sich die Mühe machen, anderen über Beiträge zu helfen oder sogar Software wie den <hijackthis> zur Verfügung stellen, um diesem Wahnsinn beizukommen.
Ich war ganz schön entnervt und bin heilfroh, daß mein Laptop nun wieder gesund ist!!

In diesem Sinne,
Ciao padd_y

Ich habe auch das Problem mit dem weißen Bildschirm und bin bei der Lösungssuche auf die Seite gestossen. Ich hab versucht den Thread von Silverdrug v. 02.11.04 in die Tat umzusetzen.Wenn ich so verfahre, (Aktivierung Taskleiste automatisch ausblenden) sehe ich keinen Teil des "alten Desktop".
Klicke ich auf die Stelle, wo zuvor ein Teil des Taskleiste abgebildet war, erscheint lediglich " Direkthilfe". Wie oder wo erscheint der "alte Desktop"?
Danke für eventuelle Hilfestellung

@padd_y
2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können.

Spybot wird gegen spyware eingesetzt, nicht gegen "trojaner", auch wenn die bezeichnungen fließend sind.
www.comsafe.de
http://www.comsafe.de/angreifer.html#trojaner
http://www.comsafe.de/angreifer.html#spyware
lese dich hiermal durch
http://www.safer-networking.org/de/a...-managers.html

imho ich benütze lieber ein downloader ohne werbungsbanner als mit.
aber das ist jeder selbst überlassen.

@Tarheel,
poste ein HJT logfile
direktdownload
anleitung

chaosman

Hab auch das Problem des weissen Desktops ... heute mittag ists passsiert ich hatte auf einmal auch diese seltsame seite und ausserdem noch ein paar andere viren denn mein pc schmierte mir laufend ab . .also hab ich die festplatte ausgebaut und zu nem freund geshcleppt ... adAware und XP AntiVir drüber laufen lassen alles entfernt ... leider hab ich nun diesen weissen desktop mit den standartsymbolen den ich weder rechtsklicken kann noch in der anzeige aktivieren kann ..

einen eintrag "security" im web verzeichniss unter anzeige gibts leider nich bei mir .. ich hoffe hilfe .. falls ich nen log posten soll gebt mir bitte ne anleitung hab das noch nie gemacht ich bitte / hoffe um hilfe

Des weiteren habe ich gerade festgestellt das ich wede rordner noch dateien noch leere flächen in meinem Explorer mit rechts anklicken kann.. da is was faul ..

Edit: Habs grade selber mal gemacht .. hier mein log:


O1 - Hosts: 82.179.166.192 new-search.net
O1 - Hosts: 82.179.166.190 x-google.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~3.2\bin\jusched.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Deamon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\STARDOCK\WINCUS~1\BOOTSKIN\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\dtwfi.exe
O4 - HKLM\..\Run: [Bhu] C:\WINDOWS\Dif.exe
O4 - HKLM\..\Run: [Disk Keeper] C:\DOKUME~1\DoubleM\LOKALE~1\Temp\keep.exe
O4 - HKLM\..\Run: [Bsu] C:\WINDOWS\System32\Nld.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Bhu] C:\WINDOWS\Dif.exe
O4 - HKCU\..\Run: [Bsu] C:\WINDOWS\System32\Nld.exe
O4 - Startup: Trillian.lnk = O:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x29.chm::/trs29.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107874898734
O17 - HKLM\System\CCS\Services\Tcpip\..\{F69AE524-8381-42B9-B75B-FC01BBBD51C0}: NameServer = 192.168.1.1
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O20 - Winlogon Notify: WB - D:\PROGRA~1\WINDOW~1\fastload.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\DoubleM\Desktop\FanSpeed1_2_0\fanspeedNT.exe" (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

warning! you're in danger!
 

hallo leute,

ich hatte mal wieder das verlangen nach etwas nackter haut :teufel2:

und jetzt hab ich den salat :lmaa:

seit 2 tagen ist mein hintergrundbild ge-hijackt :mad:

und ich hab auch noch ein paar trojaner dazu bekommen !!!

ich habe stundenlang alle ergebnisse die mir google diesbezüglich ausgespuckt hat gelesen... aber irgendwie hab ich den "krampf" immer noch drauf :pfui:

ich habe es auch mit :

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

versucht !!!

Aber, wenn ich bei mir auf die eigenschaften klicke... dann stehen dort nur die Register >>> Bildschirmschoner und Einstellungen... von desktop oder web ist da nichts zu sehen ??? das heißt ich komme gar nicht dazu die einträge zu löschen weil ich nicht darauf zugreifen kann !!!??? :koch:

also entweder bin ich zu blöd dafür oder ich hab eine neuere version von diesem hijacker drauf !!!???

ich hab auch schon einige "exe" dateien aus meinem system32 ordner gelöscht... unter anderem waren da..

- cmdtel.exe
- cmdteld.exe
- mocih.exe
- mocihd.exe
- spoolsvr32.exe

und da waren auch noch :

- dc14.html
- dc6.exe
- dc7.html

die im verzeichnis "c: recycler..." sein sollen aber ich finde diesen ordner nicht ???

vielleicht hat ja jemand von euch schon mal dieses problem gehabt/gelesen... ich komme jedenfalls aus eigener kraft nicht mehr weiter :headbang:

hier ist mein hijack-log :

Logfile of HijackThis v1.99.1
Scan saved at 18:33:45, on 19.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Dell\OpenManage\Client\Iap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\DSL Speed Manager 5.11\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\windows\system32\taskmg.exe
C:\WINDOWS\System32\ctfmon.exe
D:\AOL 9.0\aoltray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\DSL Speed Manager 5.11\tsmsvc.exe
E:\Hi Jack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe


ich danke euch im voraus und verbleibe

bis bald

leandro

Hi,

checke Dein system mal mit escan. Beschreibung richtig lesen!

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen:

"öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
Wenn du dir das einzeln suchen ersparen willst:
Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\find.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)

hallo,

erstmal ein herzliches dankeschön an "gigamail" :crazy:

ich hab jetzt den mwav.log.... der scan hat zwar ca. 3 std. gedauert und mich hats fast vom hocker gehauen als ich vorhin nach hause kam und feststellen musste das auf meinem system 37 trojaner drauf sind :nixda:
aber wenigstens weiß ich jetzt bescheid !!!

das schlimme an der ganzen sache sind nicht die ganzen trojaner...
mir machen die ganzen programme die ich zuvor laufen lies sorgen...
ich hab mein system mit : mcaffe, norton, adaware, spybot, hijackthis, lsp fix,
cwshredder, findnfix usw.... gescannt und keins davon hat mir die trojaner ausgespürt !!!???

und ich dachte ich bin gut gerüstet und habe gegen alle schädlinge ein mittel :schmoll:

ach ja, in der anleitung von MWAV stand was von:

Das MicroWorld AntiVirus Toolkit Utility entfernt ab der Version 4.5.1 leider die gefundene Malware nicht mehr automatisch. Hier müssen gefundene Dateien manuell im abgesicherten Modus entfernt werden.

aber bevor ich das mache, dachte ich mir... ich poste erst mal den Log um eure meinung zu hören !!!


hier nun mein MWAV Log :



Tue Apr 19 20:15:55 2005 => MicroWorld AntiVirus Toolkit Utility.
Tue Apr 19 20:15:55 2005 => Version 6.0.8 (C:\bases_x\mwavscan.com)
Tue Apr 19 20:15:55 2005 => Log File: C:\bases_x\MWAV.LOG
Tue Apr 19 20:15:55 2005 => MWAV Registered: FALSE.
Tue Apr 19 20:15:55 2005 => MWAV Mode: Only Scan files.
Tue Apr 19 20:15:55 2005 => Latest Date of files inside MWAV: 19 Apr 2005 20:22:50



Tue Apr 19 23:39:50 2005 => Total Objects Scanned: 71484
Tue Apr 19 23:39:50 2005 => Total Virus(es) Found: 37
Tue Apr 19 23:39:50 2005 => Total Disinfected Files: 0
Tue Apr 19 23:39:50 2005 => Total Files Renamed: 0
Tue Apr 19 23:39:50 2005 => Total Deleted Objects: 0
Tue Apr 19 23:39:50 2005 => Total Errors: 83
Tue Apr 19 23:39:50 2005 => Time Elapsed: 03:20:07
Tue Apr 19 23:39:50 2005 => Virus Database Date: 2005/04/19
Tue Apr 19 23:39:50 2005 => Virus Database Count: 126815


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
493:Tue Apr 19 20:20:12 2005 => File c:\windows\system32\taskmg.exe infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
1919:Tue Apr 19 20:21:49 2005 => File C:\WINDOWS\System32\mtfxcakt.exe infected by "Trojan-Dropper.Win32.Agent.ii" Virus. Action Taken: No Action Taken.
1922:Tue Apr 19 20:21:49 2005 => File C:\WINDOWS\System32\mtuqaaaa.exe infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
2407:Tue Apr 19 20:22:19 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
2515:Tue Apr 19 20:22:26 2005 => File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
2681:Tue Apr 19 20:22:36 2005 => File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
6392:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp11.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
6395:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp12.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
6400:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp13.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
6405:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp2.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6408:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp3.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6411:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp4.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6417:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp8.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6420:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp9.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6423:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmpA.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6426:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmpC.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
13701:Tue Apr 19 20:40:14 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc1.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
13705:Tue Apr 19 20:40:15 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc3.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
13709:Tue Apr 19 20:40:15 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc5.exe infected by "not-a-virus:AdWare.FindSpy.e" Virus. Action Taken: No Action Taken.
16205:Tue Apr 19 20:42:22 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP77\A0033230.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
20003:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043950.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken.
20006:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043951.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken.
20009:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043952.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken.
20012:Tue Apr 19 20:45:11 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043953.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken.
20030:Tue Apr 19 20:45:12 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043969.exe infected by "Trojan.Win32.Agent.ct" Virus. Action Taken: No Action Taken.
28351:Tue Apr 19 20:58:41 2005 => File C:\WINDOWS\system32\mtfxcakt.exe infected by "Trojan-Dropper.Win32.Agent.ii" Virus. Action Taken: No Action Taken.
28354:Tue Apr 19 20:58:41 2005 => File C:\WINDOWS\system32\mtuqaaaa.exe infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
29296:Tue Apr 19 20:59:39 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
29404:Tue Apr 19 20:59:46 2005 => File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
29772:Tue Apr 19 21:00:11 2005 => File C:\WINDOWS\system32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
36544:Tue Apr 19 22:06:39 2005 => File D:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP79\A0033814.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
75427:Tue Apr 19 23:39:50 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8445:Tue Apr 19 20:27:58 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
30344:Tue Apr 19 21:00:59 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30348:Tue Apr 19 21:00:59 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30360:Tue Apr 19 21:01:02 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30528:Tue Apr 19 21:01:58 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
74706:Tue Apr 19 23:38:52 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



tja... das sieht mir nach ner menge arbeit aus :mad:

Du solltest unbedingt Dein Windows updaten auf SP 2

Nur die Kaufversion löscht. Mit Freeware muss von Hand gelöscht werden.

Du hast einige Sachen drauf die unter anderem Passwörter ausspionieren, das sollte dir zu denken geben!
Trojan-Downloader.Win32.Small.aql --> Zitat Antiviruslab:
Allgemeine Beschreibung:
Trojan-Downloader.Win32.Small.aql ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert.
Trojan-Downloader.Win32.Adload.g --> Allgemeine Beschreibung:
Trojan-Downloader.Win32.Adload.g ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert.

Lade Dir LspFix hier
lade Spybot-S&D
und Ad-Aware und update beide Programme

--> boote in den
abgesicherter Modus , deaktiviere die
Systemwiederherstellung ,scanne nach einander mit Spybot und Ad-Aware und lösche alle gefundenen Sachen fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - Startup: PowerReg Scheduler.exe -->Prozess vorher beenden
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)

Datenträgerbereinigung:

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Windowstaste+R --> cleanmgr --> <enter>
Klick bei Temporary Internet Files --> <enter>
Papierkorb leeren

alle Funde für "infected" im Verzeichnis Windows\System32 von Hand löschen
Wenn sie nicht sichtbar sind, folgende Einstellung:Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" ->
Haken entfernen bei "Geschützte Systemdateien ausblenden
(empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Die Dateien in dem Ordner D:\System Volume Information\_restore
sind nach einem Neustart weg
Escan nochmal im abgesicherten Modus laufen
Neu booten neues HJT posten und Ergebnisse von eScan.
Solltest Du Probleme haben ins Netz zu kommen repariere mit LspFix

hallo gigamail,

zum glück habe ich einen zweiten rechner mit dem ich jetzt ins netz gehe... den infizierten lasse ich solange er nicht sauber ist offline !

ich bin grad am "verpesteten rechner" im abgesicherten modus und hab auch die systemwiederherstellung deaktiviert... momentan läuft adaware...

die ganze zeit überlege ich ob ich mir die ganze action sparen und gleich die ganze platte löschen soll ??? da schlimme dabei ist... ich habe einfach zu viele sachen drauf und müsste alles neu installieren und das würde höchstwahrscheinlich noch länger dauern !?!?!?!

ich glaub das alles einfach nicht :mad:

ich melde mich sobald ich mit der säuberung durch bin...

hoffentlich klappt alles :o

bis dann und vielen dank für deine hilfsbereitschaft :party:

tschüüü....

@leandro
falls du neu aufsetzen möchtest
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


chaosman

@chaosman

vielen dank für den link... ich schau jetzt erstmal ob ich die "trojaner" mit hilfe von adaware, spybot usw... bzw. "manuell" weckbekomme... falls das nicht klappen sollte werde ich mir deinen vorschlag zu herzen nehmen :)

@gigamail

ich bin mit allen punkten fast durch :crazy:

und werde mir demnächst dieses "kaspersky" holen...
dann brauch ich den ganzen "mist" bei nächsten mal (hoffentlich passiert das nie wieder) nicht manuell zu löschen :nixda:

sobald ich die neuen "escan & hijack" Log's habe... melde ich mich wieder !!!

bis dahin

viel erfolg bei der trojaner bekämpfung :koch:

leandro

halloooo,

ich habs endlich hinter mir... alle trojaner sind weck :huepp:

hier ist mein hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:30:55, on 20.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\Hi Jack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe


bei MWAV hab ich nur noch...


Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
83558:Wed Apr 20 16:13:24 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
98974:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
98978:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
98990:Wed Apr 20 16:41:12 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
99158:Wed Apr 20 16:42:08 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
137130:Wed Apr 20 17:59:40 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


jetzt kann ich die Systemwiederherstellung wieder aktivieren oder !?


Das einzige was jetzt noch fehlt... weswegen ich eigentlich hier war/bin...
ist dieses verdammte "desktop.html"

Ich hatte dieses problem schon mal auf meinem alten rechner mit Win2000pro SP4 und der trick mit:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

hat damals funktioniert !!!

Aber jetzt klappts einfach nicht.. wenn ich jetzt die taskleiste auf automatisch ausblenden setze... und auf meinen desktop schaue dann ist sie zwar ausgeblendet aber von meinem alten desktop kann ich trotzdem nichts sehen, nicht mal einen kleinen teil !?!?!?

außerdem kommt noch hinzu... das ich unter den "Eigenschaften für Anzeige" nur noch die Register >>> "Bildschirmschoner und Einstellungen" zur Auswahl stehen habe !?!?!? von desktop oder web ist da nichts zu sehen ???

was mache ich falsch :nixda: ... woran kann das liegen ????

:snyper:

bis bald

lg

leandro


P.S.: mir ist aufgefallen das meinen antiviren prog. & firewall nicht mehr automatisch gestartet werden ? und ändern kann ich das auch nicht ?
da muss noch irgendwas faul sein ?

Dein Logfile sieht jetzt sauber aus. Du solltest aber noch den IE updaten. IE nur noch für Windowsupdates verwenden, aber die regelmäßig durchführen.Benutze in Zukunft alternative Browser wie z. B.
http://filepony.de/download-opera/
http://www.mozilla.org/

Funde für "tagged" sind nicht gefährlich.
Für die Desktopgeschichte probiere mal noch folgendes:
START>Einstellungen>Systemsteuerung>Anzeige>Desktop>ganz unten "Desktop anpassen" anklicken>dann auf Web
dort "Security" markieren und dann auf löschen klicken.

da Du schon verschiedene Dateien vorher gelöscht hast kann ich nicht sagen obe vielleicht Systemdateien dabei waren.
Du kannst auch noch das probieren:
Windowstaste+R -->sfc /scannow --> <enter>
Du wirst dann nach der Windows CD gefragt dann werden die systemdateien überprüft und gegebenenfalls repariert

hallo nochmal,

also ich kann es nicht oft genung sagen >>> VIELEN DANK FÜR ALLES !!!

danke für die mühe die du dir gemacht hast und vor allem für deine zeit !!!

auf meinem rechner ist jetzt wieder RUHE eingekehrt :)

leider muss ich dich doch noch mal wegen dieser desktop "pest" löchern :nixda:

vielleicht reden wir ja aneinander vorbei... wahrscheinlich arbeitest du mit Win2000 und kannst mein problem nicht ganz nachvollziehen...

du hast mir beschrieben wie ich bei win2000 zu den Anzeigeoptionen komme !!!

da ich ja winXP benütze schaut die sache ganz anders aus bei mir...

um zu den anzeige optionen zu kommen muss ich ja...

Start > Systemsteuerung > Darstellung und Designs > Anzeige... klicken !!!

ok so weit so gut... normalerweise habe ich sobald sich die "Eigenschaften von Anzeige" öffnen.... mehrere Register zur Auswahl...
das schaut dann "normalerweise" so aus...

Designs > Desktop > Bildschirmschoner > Darstellung > Eintellungen

worauf ich eigentlich die ganze zeit hinaus will... ist...

das bei mir... wenn ich das Fenster "Anzeige" öffne...

nur die Register "Bildschirmschoner und Einstellungen" zur Auswahl stehen !!!

die register "designs > desktop > darstellungen" stehen nicht da wo sie sein sollten !?!?!?!

und aufgrund dessen komme ich nicht dazu auf "desktop anpassen" zu klicken weil ich ja den register "desktop" nicht zur auswahl habe !!!

ich hoffe das war jetzt verständlich genug erklärt :blabla:

ich les jetzt mal alles was mir google zu diesem thema anzeigt, vielleicht hatte ja schon mal jemand dieses problem !

auf jeden fall möchte ich ein großes Lob für das "trojaner-board" aussprechen !!! ohne euch wären wir "User" aufgeschmissen :lach:

bis bald

lg

leandro

Ich bin deinem Problem auf der Spur (hoffe ich zumindest) ;)

Win-Taste + R -> regedit -> Enter

Navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Solltest du dort den Eintrag "NoThemesTab" finden, mach bitte folgendes: Rechtklick darauf-> Ändern-> Wert auf 0 stellen -> OK
Designs sollte wieder erscheinen.

Das Gleiche mit
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage
Desktop sollte wieder erscheinen (Rechtsklick auf NoDispBackgroundPage und Wert ändern)


Sollte es funktionieren, schau ich auch mal ob ich den Eintrag für "Darstellungen" noch finde, hab keine Lust mehr das RegMon-Log durchzuschauen...

P.S: Ich hafte für nichts! (obwohl es eigentlich relativ gefahrlos ist)


EDIT: Prüfe das auch noch für diesen Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage
Falls vorhanden auch auf 0 stellen.

Falls jmd. einen besseren Vorschlag hat: nur her damit ;)

EDIT2: Eigentlich müsste es sich nur um diese beiden handeln:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage

Ist das noch immer der Fall?

@ll

Ein sehr guten Lösungsweg zu diesem Problem, könnt ihr im Post von Pieter_Arntz nachlesen.

Meine Vorschläge:
Entweder dies oder jenes ausführen und zwar so:
Rechtsklick auf einen der Links -> Ziel speichern unter... -> z.B. der erste Link: 'webtabmissing.reg' unter C:\ abspeichern -> Doppelklick auf 'webtabmissing.reg' und nachfolgende Frage mit 'Ja' bestätigen.

Normalerweise müssten danach alle Reiter wieder zur Verfügung stehen.

EDIT:
Eine ausführliche Erklärung bzw. Auswirkungen zu den einzelnen Einträgen im Reg Key [1] findest du hier:
http://www.pc-tips.ch/registrytip.php
[1] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Da die o.g. Seite momentan leider auf dem Server nicht mehr erreichbar ist, werde ich den Inhalt temporär aus meinem Cache zur Verfügung stellen!
Quelle: http://www.pc-tips.ch/registrytip.php

Ich glaub auch, dass Cidres Lösung die bessere ist.
Aber ich war auf dem richtigen Weg und wenn man die Einträge in den .reg-Datein anschaut, kann man durchaus Gemeinsamkeiten erkennen ;)
Das nächste Mal mach ich mir nicht mehr die Arbeit das alles rauszufinden/-schreiben. :p Da such ich dann auch mal bei Google :lach:

hallo,

also ich muss schon sagen >>> saubere arbeit jungs :party:

ich hab jetzt "restore all display tabs" runtergeladen und ausgeführt...
und siehe da... alle meine register sind wieder da :huepp:

leider musste ich nach kurzer zeit feststellen das ich mich mal wieder zu
früh gefreut habe...

ich habe eine gute und eine schlechte nachricht :headbang:

nachdem ich ja jetzt alle register wieder habe... konnte ich unter
desktop > desktop anpassen > web
den eintrag "security" löschen

aber...

jetzt hatte ich zwar einen komplett schwarzen desktop...
ohne "You're in danger" blablabla...
kann aber jetzt leider überhaupt keinen hintergrund mehr auswählen ???

hahahahha das darf nicht wahr sein...

ich weiß nicht ob ich lachen oder weinen soll :lmaa:

wenn ich jetzt unter "eigenschaften von anzeige" auf den register "desktop" klicke... dann steht dort unter dem bildschirm "normalerweise" in dunklen buchstaben

Hintergrund:

und darunter ist ein fenster in dem sich die von windows vordefinierten hintergründe befinden...

jetzt ist aber bei mir dieser "hintergrund" in "grauen buchstaben" das heißt sozusagen "deaktiviert" und ich kann mir deswegen keinen hintergrund aus dem fenster darunter aussuchen !?!?!?
außerdem ist auch der "durchsuchen" -button in grauen buchstaben d.h. ich kann den auch nicht benützen !?!?!?!?

was geht denn da ab ??? wahnsinn... eins muss man dem bill schon lassen...
abwechslungsreich ist sein windows auf jeden fall *lach*
man erlebt jeden tag eine neue überraschung :crazy:

aber mal spaß bei seite...

ich muss wahrscheinlich wieder irgendeinen registrierungs-schlüssel ändern damit das wieder funktioniert !?

ich google mal ein bißchen durch die gegend... wahrscheinlich hatte schon jemand das gleiche prob.!!!

Ach ja, bevor ichs vergesse...

seitdem ich diese trojaner hatte... ich habs im letzten post schon mal angesprochen... wird mein Antivirenprog. & meine firewall nicht mehr automatisch gestartet ??? d.h. ich hab schon versucht... in den voreinstellungen von meiner firewall das häckchen bei "beim Systemstart laden" zu setzen... aber das häckchen taucht kurz auf und verschwindet sofort wieder :mad: hahhahaha das gibts ja wohl nicht ???

bei meinem Antivirenprog. sind alle häckchen gesetzt d.h. bei

- enable auto-protect
- start auto-protect when windows starts up
- show the auto-protect icon in the tray

aber sobald ich das AV-prog. schließe verschwindet es komplett...
früher hatte ich es immer im "tray" da wußte ich das es läuft, aber jetzt verschwindet es ganz... sobald ich es schließe ???

also bei mir stimmts leider immer noch hinten und vorne nicht :headbang:

kann nur hoffen das ich nicht der einzige bin der diesen krampf hat/hatte!

es ist mittlerweile 3.24 in der früh und ich hocke immer noch vor der kiste... das ist nun der 3 tag in folge... vielleicht sollte ich die kiste einfach ausm fenster schmeissen *grummel*

aber morgen ist ein neuer tag... kommt zeit kommt rat :nixda:

also gute nacht allerseits...

mir reichts für heute!


lg

leandro

hallo,

ich hab jetzt mal den Reg-key >>>

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper auf 0 geändert... aber das hat auch nichts gebracht !?!?!?!?

Wahrscheinlich wird >>> "format c:" das beste sein !!!

Ich hab wirklich keinen bock mehr, meine zeit zu vertrödeln :pukeface:

Auf jeden fall dank ich euch für eure hilfsbereitschaft und wünsche allen viel erfolg beim ausrotten der trojaner :kloppen:

bis dann

lg

leandro

Also ich habe eben dieses Problem mit dem "Danger"-Desktop-Webelement auf einem Kundenrechner.
Die Möglichkeit dieses ("Security" unter Desktop-Web) zu löschen habe ich schon bevor ich mich auf die Suche hier im Forum begeben habe angewendet, jedoch kehrt das Problem nach einem Neustart wieder.
Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet.
Leider ohne Erfolg.
Spybot und Adaware bringen mich - wie hier bereits erwähnt - auch zu keiner Lösung.
Da es sich wie oben erwähnt um einen Kundenrechner handelt - welches nicht der erste und mit Sicherheit nicht der letzte ist - halte ich die :kloppen: -Methode "format c:" nicht für eine angebrachte Lösung.
Gut wäre eine zuverlässige - evtl auch vom Kunden selbst anwendbare !? - Methode diese "Sicherheitwarnung" ohne neuaufsetzen des Systems in den Griff zu bekommen.
Im Voraus vielen Dank für die Bemühungen!

@Sosurfer
Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet.

fixen alleine hilft nichts wenn man anschließend diese datei nicht löscht.
poste ein HJT logfile.
hast du Cidres Lösungsvorschläge durchgelesen?


chaosman

1. Habe so ziemlich alle Anleitung hier studiert.

2. Mein Vorgehen:
- Systemwiederherstellung deaktiviert
- Eintrag "Security" unter "Desktop anpassen" - "Web" gelöscht
- im abgesicherten Modus (als der Benutzer mit dem problem angemeldet) mit Hijack den "O4 - ... \spoolsrv32.exe" gefixt
- C:\Windows\Web\desktop.html gelöscht (in C:\Windows\ befand sie sich nicht!?)
- Neustart ---->>> "You're in Danger"-Web-Hintergrund erscheint wieder
(gleiche Vorgehensweise auch als Admin durchgeführt)

3. Das Log-File

------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:54:49, on 22.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\zqihcfh.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.herpa.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.22.1.14:8080
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7CB4AA09-84CD-36CD-9682-6258A2104F3D} - C:\WINDOWS\iphr.dll (file missing)
O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Device\cm20.exe
O4 - HKLM\..\Run: [tdpmx] c:\windows\system32\tdpmx.exe /nocomm
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [winde] c:\windows\system32\winde.exe /nocomm
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [gmbpok] c:\windows\system32\gmbpok.exe
O4 - HKLM\..\Run: [HQTKHYIQ] c:\windows\system32\hqtkhyiq.exe /install
O4 - HKLM\..\Run: [qbgbyz] c:\windows\system32\zqihcfh.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [Awei] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ttor.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Ebates - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=hxxp://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&hxxp://www9.volvo.com/truck/3dtruckconfigurator2/all/fh16.asp
O16 - DPF: {067D7797-04FC-42B1-92DB-81FC6CD318FD} (Dlctrl) - hxxp://www.eingang69.de/EroticAccess/Ocx/dlctrl2.ocx
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - hxxp://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {4B6E3013-6E45-11D0-9309-0020AFE05CC8} (blaxxun CC3D) - hxxp://www.blaxxun.com/download/contact/cab/blaxxunCC3D.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - hxxp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1034_EN_XP.cab
O16 - DPF: {5B82FA31-6AC7-15E7-6613-61BE5B32CC1B} - hxxp://69.50.182.94/1/rdgDE1342.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110125652203
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - hxxp://www.globalphon.com/dialer/internazionale_ver4.CAB
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} - hxxp://www.bcnx.com/SunInfoConnect_www.bcnx.com_medium.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - hxxp://www.eingang69.de/EroticAccess/exe/access_special.ocx
O18 - Filter: text/html - {554255B4-C494-4212-8B00-3388B8C2374A} - C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Network Security Service (__NS_Service_3) - Unknown owner - C:\WINDOWS\apimy.exe (file missing)
--------------------------------

Ja da liegt auch noch mehr im Argen, ich weiß. Hauptaugenmerk aber dieser spezielle Fall.

Hi Sosurfer

das kannst Du laut sagen! Scanne mal mit escan

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen:

"öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
Wenn du dir das einzeln suchen ersparen willst:
Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)

@leandro
Versuch's mal noch mit diesem Pfad
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper
Wert auf 0 stellen.
Als ich es ausprobiert habe traten die von dir beschriebenen Symptome auf.

Das hatte ich auch.....mach unter systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web den Haken da raus und lösch des dann.

Greetz

:(

Ich hab das problem auch ich werd mal so ne Log-file erstellen und sie rein posten !

Hier is meine log-file !!!!!!

-------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:42:02, on 06.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\sys1218.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://w-find.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://w-find.com/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://w-find.com/index.htm
R3 - URLSearchHook: (no name) - {269B6797-664E-48AA-B283-B012BDF6E525} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file)
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: FlashEnhancer Extnder - {A749B4BC-7621-4a80-9220-D0A283367DD5} - c:\Program Files\Fln\fln.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CIPWGMT] C:\WINDOWS\CIPWGMT.exe
O4 - HKLM\..\Run: [HSNXFPZKU] C:\WINDOWS\HSNXFPZKU.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [IFSplash] ImmSplsh.exe
O4 - HKLM\..\Run: [FlnCPY] "C:\Program Files\Common Files\Java\flncpy.exe"
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [sys1218] C:\WINDOWS\sys1218.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [aircity] C:\WINDOWS\system32\aircity.exe
O4 - HKCU\..\Run: [wupdate] C:\WINDOWS\system32\wi32.exe
O4 - HKCU\..\Run: [sys1218] C:\WINDOWS\sys1218.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - hxxp://www.7adpower.com/dialer/austria.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - hxxp://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - hxxp://secure.goodthinxx.com/(cblbwa45hoocqh55cf1g4luv)/secureweb/securewebgt.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - hxxp://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - hxxp://e2give.com/downloads/UGO20.exe
O18 - Filter: text/html - {0FBA5BB4-15E4-491D-A68B-BB63BED3001A} - C:\Dokumente und Einstellungen\Margret\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

hallo,

ich habe ein grosses problem...seit ein paar tagen habe ich dasselbe problem..ein weisses viereck ist auf meinem desktop!und es geht nicht weg egal was ich tue...bei eigenschaften ist zu erkennen da es ein file protokoll ist :
file://C:\WINDOWS\desktop.html

ich habe keine ahnung wie ich das weg bekomme...
ich habe mir alle beiträge durchgelesen aber ich kenne mich mit diesen sachen von computern gar nich aus und weiss auch nicht was eine logfile ist bzw wie ich das eingebe...ich glaube ich bin ein hoffnungsloser fall...

es wäre super toll wenn mir irgendwie jemand helfen könnte...ich weiss nämlich nich was ich tun soll...

canadian1984@hotmail.de

ich denke ich habe den virus wieder wegbekommen - jedenfall wird mir bei hijack this nichts mehr angezeigt und auch andere scanner finden nichts mehr - aber das desktop bild kommt nicht wieder

der tipp security deaktivieren in den einstellungen kann ich schlecht befolgen denn bei mir gibt es da keine solche schaltfläche zum deaktivieren

P.S. ich hab mir den virus zweimal eingefangen - beidemale mit opera - I.E. nutze ich nicht und mit firefox gab es da noch kein problem

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:44:38, on 20.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\wok\NVIDIA~1\Apache Group\Apache2\bin\apache.exe
C:\wok\NVIDIA~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\wok\TightVNC\WinVNC.exe
C:\wok\NVIDIA~1\Apache Group\Apache2\bin\apache.exe
C:\wok\NVIDIA~1\bin\nSvcIp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\wok\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Outlook Express\msimn.exe
C:\wok\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.test.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: SimonTools - {CC48EB38-F950-48C0-9F22-D64F829AE3DF} - C:\wok\CyberGhost\tbcghost.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinVNC] "C:\wok\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [TBPanel] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [DAEMON Tools] "C:\wok\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\wok\BitSpirit\bsurl.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\wok\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\wok\ICQ\ICQ.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\wok\NVIDIA~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\wok\NVIDIA~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\wok\TightVNC\WinVNC.exe

--
End of file - 3471 bytes

P.S. C:\wok ist ein verzeichnis für die meisten meiner programme