Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Desktop läßt sich nicht mehr ändern

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.07.2008, 19:42   #1
Molly2007
 
Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Hallo,
ich bin ein kleiner Anwender, der ein Befall seines Computers festgestellt hat "Warning spyware detected on your computer...." Diese Warnung ist wohl bereits vielen bekannt. Die fachliche Hilfe, die ich mir bereits geholt habe, hat mich leider auf KW 33 und später vertröstet. Bisher habe ich den Computer scannen lassen (mit Ad-aware) und dieser zeigt nun 0 Teffer an. Doch obige Meldung bleibt bestehen und Desktop Bild läßt sich nicht ändern. Nun habe ich ein wenig im Internet gelesen und ein Hijack log file erstellt. Kann mir einer helfen und zwar so, das ein "DAU" es versteht?

Ich habe Windows XP home (service pack 2 installiert) laufen.
Ein Wiederherstellungsprogramm oder backup habe ich nicht oder weiß nichts davon.
Es laufen Ad-aware und avast und Windows firewall.

Sollte ich etwas falsch eingetragen haben, es ist mein erstes Mal hier....

Danke, schon mal im voraus!

C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [lphc5kcj0ep35] C:\WINDOWS\system32\lphc5kcj0ep35.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7597 bytes

Alt 28.07.2008, 13:50   #2
Molly2007
 
Desktop läßt sich nicht mehr ändern - Standard

Habe Malwarebytes durchgeführt und viele "Treffer"



Hier das Log file von malwarebytes:

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1000
Windows 5.1.2600 Service Pack 2

14:39:38 28.07.2008
mbam-log-7-28-2008 (14-39-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|L:\|S:\|)
Durchsuchte Objekte: 149265
Laufzeit: 1 hour(s), 14 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc5kcj0ep35 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc5kcj0ep35.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc5kcj0ep35.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
__________________


Alt 28.07.2008, 13:54   #3
Silent sharK
 

Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Zitat:
C:\WINDOWS\system32\wsnpoem
Kram schonmal deine WinXP CD raus..

Folge dem Link Neuaufsetzen in meiner Signatur.
Zudem noch:
- Passwörter, Zugangsdaten ändern (von einem sauberen Rechner)
- Konten wie ebay, Online Banking, PayPal sperren lassen
- Kontakt mit deiner Bank aufnehmen

mfg
__________________
__________________

Alt 28.07.2008, 20:50   #4
Molly2007
 
Desktop läßt sich nicht mehr ändern - Standard

Habe noch Combofix laufen lassen



Hi,

@Dark Viruz: Ist das wirklich so dramatisch? Ich habe noch den Combofix laufen lassen. Analog zu folgendem Thread (http://www.trojaner-board.de/55953-blauer-desktop-mit-warnung.html). Kann ich nicht auch so verfahren? Was meinst Du zu unten stehenden Logfile?

Was bedeutet das Zitat in deiner Antwort ?
Gruß

Molly2007


ComboFix 08-07-28.1 - ***** 2008-07-28 21:10:35.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.241 [GMT 2:00]
ausgeführt von:: C:\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\uninstall.exe
C:\WINDOWS\system32\userini.exe

----- BITS: Eventuell infizierte Webseiten -----

http://fixaserver.ru
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-28 ))))))))))))))))))))))))))))))
.

2008-07-28 14:53 . 2008-07-28 20:58 <DIR> d----c--- C:\Programme\Combofix
2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Programme\Malware
2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-28 13:22 . 2008-07-23 20:09 38,472 --a--c--- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-28 13:22 . 2008-07-23 20:09 17,144 --a--c--- C:\WINDOWS\system32\drivers\mbam.sys
2008-07-28 13:20 . 2008-07-28 14:53 <DIR> d----c--- C:\Programme\Malwarebytes
2008-07-26 11:04 . 2008-07-26 11:04 <DIR> d----c--- C:\Programme\Alwil Software
2008-07-26 10:33 . 2008-07-26 10:33 <DIR> d----c--- C:\Programme\Lavasoft
2008-07-26 10:33 . 2008-07-26 10:34 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-23 14:08 . 2008-07-23 14:45 46,536 --a--c--- C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-07-23 14:03 . 2008-07-28 21:05 54,156 --ah-c--- C:\WINDOWS\QTFont.qfn
2008-07-23 14:03 . 2008-07-23 14:03 1,409 --a--c--- C:\WINDOWS\QTFont.for
2008-07-16 17:17 . 2008-07-16 17:17 148 --a--c--- C:\WINDOWS\system32\MRT.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-26 08:32 --------- dc----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-23 21:11 --------- dc-h--w C:\Programme\InstallShield Installation Information
2008-07-23 19:58 52,810 -c--a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\wklnhst.dat
2008-07-23 12:55 --------- dc----w C:\Programme\Microsoft ActiveSync
2008-07-14 18:01 --------- dc----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Apple Computer
2008-06-20 17:39 247,296 -c--a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 -c----w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-04 11:23 --------- dc----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Move Networks
2008-05-16 09:58 12,632 -c--a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-07 05:14 1,293,312 -c--a-w C:\WINDOWS\system32\quartz.dll
2006-11-03 14:15 70,968 -c--a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-08-14 17:13 40,960 -c--a-w C:\Programme\Uninstall_PCM.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 15:23 61440]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 21:10 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 17:14 50688]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-28 16:37 394240]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-11-23 14:34 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2003-06-27 15:39 506368 C:\WINDOWS\mHotkey.exe]
"Cmaudio"="cmicnfg.cpl" [2003-10-14 18:31 2269184 C:\WINDOWS\CMICNFG.CPL]
"PRISMSTA.EXE"="PRISMSTA.EXE" [2003-08-04 15:54 215552 C:\WINDOWS\system32\PRISMSTA.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= pclepim1.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys [2002-12-17 11:36]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 BCMNTIO;BCMNTIO;C:\PROGRA~1\CheckIt\DIAGNO~1\BCMNTIO.sys [2004-03-05 17:09]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 16:29]
R2 MAPMEM;MAPMEM;C:\PROGRA~1\CheckIt\DIAGNO~1\MAPMEM.sys [2004-03-05 17:09]
R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys [2002-12-09 11:21]
S3 ACCSKMD;Canon Camera Storage Device;C:\WINDOWS\system32\DRIVERS\accskmd.sys [2002-06-26 22:44]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 16:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 16:41]
S3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 08:04]
S3 FLIRUSBNET;FLIR USB Network Adapter;C:\WINDOWS\system32\DRIVERS\FLIRUSB.sys [2003-12-22 17:46]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 08:47]
S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2003-08-07 16:36]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d643bad6-cfe2-11dc-a273-487444737531}]
\Shell\AutoRun\command - H:\Launch.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AOLMIcon - C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
HKU-Default-Run-ALUAlert - C:\Programme\Symantec\LiveUpdate\ALUNotify.exe


.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/keyword/%s
O8 -: &Google-Suche - C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 -: &Ins Deutsche übersetzen - C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 -: Im Cache gespeicherte Seite - C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 -: Verweisseiten - C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 -: Ähnliche Seiten - C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 21:12:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-07-28 21:15:35
ComboFix-quarantined-files.txt 2008-07-28 19:14:33

Pre-Run: 11 Verzeichnis(se), 63,898,132,480 Bytes frei
Post-Run: 13 Verzeichnis(se), 63,959,506,944 Bytes frei

142 --- E O F --- 2008-07-16 15:18:51

Alt 28.07.2008, 20:59   #5
Silent sharK
 

Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Zitat:
Ist das wirklich so dramatisch?
Ja, leider.
Zitat:
Ich habe noch den Combofix laufen lassen. Analog zu folgendem Thread (http://www.trojaner-board.de/55953-b...t-warnung.html). Kann ich nicht auch so verfahren?
Tut mir leid, ComboFix gehört nicht in mein Gebiet, es ist nur von Kompetenzlern und von Leuten, die sich mit dem Tool auskennen berechtigt, es zu empfehlen.
Zitat:
Was bedeutet das Zitat in deiner Antwort ?
Das ist der Schädling, der dieses sofortige Eingreifen von dir erforderlichen sollte.
WSNPoem wird von den Trojanern verwendet, die die Eigenschaft haben Passwörter und insbesondere TAN's beim Onlinebanking zu stehlen und an Remotebenutzer zu senden.

mfg

Edit: Eine Frage, hast du den Anhang einer UPS - Email geöffnet, bzw. ausgeführt?

__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Geändert von Silent sharK (28.07.2008 um 21:09 Uhr) Grund: Wort vergessen

Alt 28.07.2008, 21:14   #6
Molly2007
 
Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Erstmal vielen Dank für deine schnelle Hilfe!!
Nee, ich habe keine solche Mail erhalten oder geöffnet.

Alt 28.07.2008, 21:16   #7
Silent sharK
 

Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Kein Problem,
wenn du gerade nichts zu tun hast, kannst du bitte systemweit nach einer userini.exe (nicht userinit.exe) suchen?

Und wenn du einen Zweitrechner besitzt, trenne den infizierten physikalisch vom Netz.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 28.07.2008, 21:26   #8
Molly2007
 
Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



nö, hab nix anderes zu tun
Zweitrechner steht bereit und begebe mich auf die Suche... bis gleich

hast du eine neue Idee?

Alt 28.07.2008, 21:31   #9
Silent sharK
 

Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Die Suche deswegen, weil mich dieser Eintrag irritiert:
Zitat:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit .exe
Das ist normalerweise das Anzeichen des UPS-Trojaners.
WSNPoem wird nämlich oft in Verbindung mit dem Teufel (ntos.exe) gebracht, deshalb würd ich gern wissen, um was es sich handelt.
Aber egal, wenn wsnpoem im Spiel ist, wird man ums Neuaufsetzen wohl kaum herumkommen.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 28.07.2008, 21:34   #10
Molly2007
 
Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



so, habe eine Datei gefunden:

C:\QooBox\Quarantine\CWINDOWS\system32

Alt 28.07.2008, 21:36   #11
Silent sharK
 

Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Zitat:
C:\QooBox\Quarantine\CWINDOWS\system32
Das ist die Quarantäne von ComboFix.
Mache mal zur Sicherheit folgendes:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\userinit.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Mir ist die ganze Sache überhaupt nicht geheuer.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 28.07.2008, 21:37   #12
Molly2007
 
Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



bei meinen ersten Scannen habe ich auch eine Infizierte Datei namens "ntos" gehabt. Die wurde dann umbenannt (mittels Bootscan CD von GDATA) GDATA ist aber nicht mehr installiert und wurde durch Avast und Adaware ersetzt (durch fachliche Hilfe).

Alt 28.07.2008, 21:39   #13
Silent sharK
 

Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Zitat:
bei meinen ersten Scannen habe ich auch eine Infizierte Datei namens "ntos" gehabt.
Wenn das dein Ernst ist, dann handelt es sich jedenfalls um den TAN-liebenden ZBot.
Betreibst du Online Banking, oder sowas in der Art?
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 28.07.2008, 21:41   #14
Molly2007
 
Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



mal ganz doof, aber dazu soll ich wieder online gehen?

Alt 28.07.2008, 21:42   #15
Silent sharK
 

Desktop läßt sich nicht mehr ändern - Standard

Desktop läßt sich nicht mehr ändern



Für das VirusTotal, ja.
Großen Schaden wird die kurze Zeit wohl kaum nehmen, du solltest nur nichts passwortrelevantes betreiben.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu Desktop läßt sich nicht mehr ändern
ad-aware, adobe, antivirus, avast, avast!, bho, desktop, explorer, g data, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, log file, pdf, programme, rundll, scan, software, spyware, system, userinit.exe, warnung, windows, windows xp, ändern



Ähnliche Themen: Desktop läßt sich nicht mehr ändern


  1. Firefox läßt sich nicht mehr öffnen - Der Vorgang wurde aufgrund von Beschränkungen auf dem Computer abgebrochen. Wenden sie sich an den Sys
    Log-Analyse und Auswertung - 05.08.2014 (17)
  2. Firefox läßt sich nicht mehr öffnen - Der Vorgang wurde aufgrund von Beschränkungen auf dem Computer abgebrochen. Wenden sie sich an den Sys
    Alles rund um Windows - 28.07.2014 (2)
  3. Windows XP läßt sich nicht mehr starten
    Alles rund um Windows - 26.09.2009 (15)
  4. Firefox hat hat "google redirect Problem" & Desktophintergrund läßt sich nicht ändern
    Log-Analyse und Auswertung - 09.05.2009 (1)
  5. Desktop Hintergrund lässt sich nicht ändern.
    Log-Analyse und Auswertung - 08.05.2009 (3)
  6. Virenprogramm weg und läßt sich nicht mehr installieren
    Antiviren-, Firewall- und andere Schutzprogramme - 18.09.2007 (3)
  7. PC läßt sich nicht mehr hochfahren-keine Reaktion mehr!
    Plagegeister aller Art und deren Bekämpfung - 23.06.2007 (1)
  8. Kann den Desktop-Hintergrund nicht mehr ändern...
    Log-Analyse und Auswertung - 19.02.2007 (1)
  9. desktop kann ih nicht mehr ändern!!!!
    Alles rund um Windows - 30.01.2006 (11)
  10. kann nach beseitigtem trojaner befall desktop nicht mehr ändern
    Log-Analyse und Auswertung - 27.12.2005 (1)
  11. Hilfe!Desktop läst sich nicht ändern und TR/Small.GA7
    Plagegeister aller Art und deren Bekämpfung - 20.11.2005 (30)
  12. Kann Desktop nicht mehr ändern
    Alles rund um Windows - 14.09.2005 (17)
  13. Startseite läßt sich nicht mehr ändern !
    Plagegeister aller Art und deren Bekämpfung - 11.09.2005 (2)
  14. startseite lässt sich nicht mehr ändern :(
    Log-Analyse und Auswertung - 03.06.2005 (4)
  15. about:blank läßt sich nichtmehr auf Startseite ändern
    Log-Analyse und Auswertung - 26.05.2005 (4)
  16. Diskette läßt sich nicht mehr öffnen !
    Alles rund um Windows - 12.11.2004 (3)
  17. Startseite läßt sich nicht mehr ändern...
    Plagegeister aller Art und deren Bekämpfung - 23.10.2004 (29)

Zum Thema Desktop läßt sich nicht mehr ändern - Hallo, ich bin ein kleiner Anwender, der ein Befall seines Computers festgestellt hat "Warning spyware detected on your computer...." Diese Warnung ist wohl bereits vielen bekannt. Die fachliche Hilfe, die - Desktop läßt sich nicht mehr ändern...
Archiv
Du betrachtest: Desktop läßt sich nicht mehr ändern auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.