Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.09.2008, 12:59   #1
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Hallo!

ich hatte heute auf einmal als Hintergrundbild eine Nachricht "Windows Warning Message - Spyware detected on your Computer".
Habe mir daraufhin AntiVir heruntergeladen und laufen lassen, die infizierten Files wurden gelöscht. Leider lässt sich der Hintergrund jetzt nicht mehr ändern, die entsprechenden Karteireiter fehlen einfach.

Hier das Log-File von AntiVir:

Code:
ATTFilter
 Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 11. September 2008  11:34

Es wird nach 1608940 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     -DX-

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes   12.8.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes   26.6.2008 08:57:50
AVSCAN.DLL    : 8.1.4.0        48897 Bytes    9.5.2008 11:27:08
LUKE.DLL      : 8.1.4.5       164097 Bytes   12.6.2008 12:44:18
LUKERES.DLL   : 8.1.4.0        12545 Bytes    9.5.2008 11:40:44
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes   18.7.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes   24.6.2008 13:54:16
ANTIVIR2.VDF  : 7.0.6.94     2998784 Bytes   31.8.2008 09:33:36
ANTIVIR3.VDF  : 7.0.6.145     323072 Bytes   11.9.2008 09:33:38
Engineversion : 8.1.1.28  
AEVDF.DLL     : 8.1.0.5       102772 Bytes    9.7.2008 08:38:32
AESCRIPT.DLL  : 8.1.0.70      319866 Bytes   11.9.2008 09:33:44
AESCN.DLL     : 8.1.0.23      119156 Bytes   11.9.2008 09:33:44
AERDL.DLL     : 8.1.1.1       397683 Bytes   11.9.2008 09:33:42
AEPACK.DLL    : 8.1.2.1       364917 Bytes   11.9.2008 09:33:42
AEOFFICE.DLL  : 8.1.0.23      196987 Bytes   11.9.2008 09:33:42
AEHEUR.DLL    : 8.1.0.51     1397111 Bytes   11.9.2008 09:33:42
AEHELP.DLL    : 8.1.0.15      115063 Bytes    9.7.2008 08:38:32
AEGEN.DLL     : 8.1.0.36      315764 Bytes   11.9.2008 09:33:40
AEEMU.DLL     : 8.1.0.7       430452 Bytes   11.9.2008 09:33:40
AECORE.DLL    : 8.1.1.11      172406 Bytes   11.9.2008 09:33:38
AEBB.DLL      : 8.1.0.1        53617 Bytes   24.4.2008 08:50:42
AVWINLL.DLL   : 1.0.0.12       15105 Bytes    9.7.2008 08:40:04
AVPREF.DLL    : 8.0.2.0        38657 Bytes   16.5.2008 09:28:00
AVREP.DLL     : 8.0.0.2        98344 Bytes   11.9.2008 09:33:38
AVREG.DLL     : 8.0.0.1        33537 Bytes    9.5.2008 11:26:38
AVARKT.DLL    : 1.0.0.23      307457 Bytes   12.2.2008 08:29:20
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes   12.6.2008 12:27:48
SQLITE3.DLL   : 3.3.17.1      339968 Bytes   22.1.2008 17:28:04
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes   12.6.2008 12:49:38
NETNT.DLL     : 8.0.0.1         7937 Bytes   25.1.2008 12:05:08
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes   12.6.2008 13:45:02
RCTEXT.DLL    : 8.0.52.0       86273 Bytes   27.6.2008 13:32:06

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:, G:, H:, I:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 11. September 2008  11:34

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hprblog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZQKPICK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '.ttEB.tmp.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> 'C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.ttEB.tmp.exe'
Durchsuche Prozess 'lphclgrj0et5r.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> 'C:\WINDOWS\system32\lphclgrj0et5r.exe'
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Prozess '.ttEB.tmp.exe' wird beendet
Prozess 'lphclgrj0et5r.exe' wird beendet
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.ttEB.tmp.exe
    [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.RS
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\lphclgrj0et5r.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Frauder.EE.11
    [HINWEIS]   Die Datei wurde gelöscht.

Es wurden '37' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'I:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\WINDOWS\system32\a.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.34816
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\phclgrj0et5r.bmp
    [FUND]      Ist das Trojanische Pferd TR/Fakealert.AAF
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.ttE8.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.ttEB.tmp
    [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.RS
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\.tt4.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\nsi3.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\nsgEF.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLEJ09QZ\pipo[1]
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.34816
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\58535aaf-6dbc321d
    [0] Archivtyp: ZIP
    --> OP.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify.I
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\6d7493b4-583b7f2f
    [0] Archivtyp: ZIP
    --> OP.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify.I
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\107cd1bb-4192c619
    [0] Archivtyp: ZIP
    --> MagicApplet.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.B
    --> OwnClassLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify
    --> ProxyClassLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.A
    --> Installer.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify.S.1
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP4\A0000013.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Frauder.EE.11
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9C8611C6-0B28-4F97-A2AA-AB23520B839E}\RP4\A0000015.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.34816
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <PROGRAMME>
Beginne mit der Suche in 'F:\' <SPIELE>
Beginne mit der Suche in 'G:\' <DATEN>
G:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'H:\' <CHRISTEL>
Beginne mit der Suche in 'I:\' <MUSIK>


Ende des Suchlaufs: Donnerstag, 11. September 2008  12:15
Benötigte Zeit: 41:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  12123 Verzeichnisse wurden überprüft
 365713 Dateien wurden geprüft
     20 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
     15 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 365692 Dateien ohne Befall
   2226 Archive wurden durchsucht
      5 Warnungen
     15 Hinweise
         
Ich hoffe ich habe damit alle nötigen Informationen geliefert, damit ihr mir helfen könnt.

Geändert von metallissim0 (11.09.2008 um 13:51 Uhr) Grund: Log in Code umgesetzt

Alt 11.09.2008, 14:43   #2
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Nachtrag:
Ab und zu (ich kann keinen Auslöser o.ä. ausmachen) bekomme ich einen Bluescreen mit verschieden lautenden Meldungen. 2 davon (etwa, die Meldung verschwindet relativ schnell) "IRQL not equal", "Unexpected Kernel trap".
Wenn ich nichts mache startet Windows neu (also kein kompletter PC-Neustart) und während des Windows-Ladevorgangs kommt wieder ein Bluescreen.
Wenn ich während des Bluescreens eine Taste(nkombination) (strg+alt+entf oder leertaste) drücke, kehrt Windows zurück zum Zustand vor dem Bluescreen, als hätte dieser nur das Bild verdeckt. D.h. alle Programme laufen noch, es sind noch die gleichen Webseiten geöffnet wie vorher.
__________________


Alt 11.09.2008, 17:15   #3
Aldrilevd
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Hi metallissim0 und willkommen an Board

Klingt nach dem Trojaner, mit dem ich mich auch momentan rumquäle, siehe http://www.trojaner-board.de/59655-w...rauder-bu.html

Sieht das Hintergrundbild zufälligerweise so aus:



Falls ja, dan melde dich mal, ich kann dir sagen, was ich bis jetzt gemacht hab, bräuchte aber selber noch Hilfe.

SG
__________________

Alt 11.09.2008, 22:38   #4
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Ja, genauso sah das Bild aus, es ist ja nicht mehr da, seit AntiVir die infizierten Files gelöscht hat.
Ich bin grad ehrlich gesagt etwas irritiert, dass von den Fachleuten hier keine Reaktion kommt, wohl aber bei anderen die wesentlich später ihr Problem gepostet haben.

Alt 11.09.2008, 22:49   #5
erty
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
  • Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)
  • Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


Alt 11.09.2008, 23:07   #6
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Zunächst schonmal danke!

Hier das Ergebnis:

Code:
ATTFilter
SmitFraudFix v2.349

Scan done at 22:59:48,65, 11.09.2008
Run from C:\Dokumente und Einstellungen\xxxxx\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\xxxxx\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxxxx


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxxxx\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\xxxxx\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Alt 11.09.2008, 23:13   #7
erty
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Ok dann nochmals im abesicherten Modus mit Option 2

und anschliessend

Malwarebytes scannen lassen
Malwarebytes

Alt 11.09.2008, 23:15   #8
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Ok, mach ich sofort.

Alt 11.09.2008, 23:52   #9
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



So, hier:

Smitfraud:

Code:
ATTFilter
SmitFraudFix v2.349

Scan done at 23:16:51,10, 11.09.2008
Run from C:\Dokumente und Einstellungen\xxxx\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2B317642-8A32-44C7-8E06-FE9989AB41B1}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C1DF55C0-CFA1-40E0-8697-C9016473CF46}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
         

MAM:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1141
Windows 5.1.2600 Service Pack 2

11.09.2008 23:50:33
mbam-log-2008-09-11 (23-50-33).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 165691
Laufzeit: 27 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclgrj0et5r (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcggrj0et5r (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\blphclgrj0et5r.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         

Alt 12.09.2008, 00:02   #10
erty
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



ok.
über start ausführen regedit aufrufen.

folgende Schlüssel mit konzentration suchen und löschen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispBackgroundPage = 0x00000001
NoDispScrSavPage = 0x00000001

HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver
EulaAccepted = 0x00000001

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host

HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings

HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lphc35dj0erc1 = "%System%\lphc35dj0erc1.exe"

Alt 12.09.2008, 00:08   #11
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Ich hab noch nie in der Registry was gemacht, bin deshalb etwas verunsichert, weil ich zwar den ersten von dir angegebenen Pfad finde, aber dann auf der rechten Seite nur ein Eintrag erscheint:
Code:
ATTFilter
Name:        Typ       Wert
(Standard)   REG_SZ   (Wert nicht gesetzt)
         
Edit: Und wo nur der Pfad angegeben ist den jeweiligen Ordner löschen?

Alt 12.09.2008, 00:12   #12
erty
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



ok schlüssel für schlüssel...

steht bei dir unter policies Explorer und System (links als Ordner dargestellt)?

Alt 12.09.2008, 00:13   #13
Silent sharK
 

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Dürfte ich mich kurz einmischen? *vorsichtigfrag*

Dann muss er evtl. nicht jeden Eintrag einzeln löschen.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 12.09.2008, 00:13   #14
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Ja, es steht auch noch ein dritter Ordner da, "Active Desktop"

Alt 12.09.2008, 00:14   #15
metallissim0
 
Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Standard

Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar



Zitat:
Zitat von Dark Viruz Beitrag anzeigen
Dürfte ich mich kurz einmischen? *vorsichtigfrag*

Dann muss er evtl. nicht jeden Eintrag einzeln löschen.
Von mir aus klar, aber die Entscheidung überlass ich wohl besser erty

Antwort

Themen zu Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar
.dll, antivir, auf einmal, avg, avgnt.exe, avira, computer, content.ie5, ctfmon.exe, einstellungen, firefox.exe, geliefert, infizierte, internet, jucheck.exe, jusched.exe, log-file, logon.exe, löschen, modul, musik, nt.dll, phish/fraud, programme, prozesse, registry, rthdcpl.exe, rundll, sched.exe, services.exe, spyware, suchlauf, svchost.exe, verweise, virus, virus gefunden, warnung, windows, winlogon.exe, wuauclt.exe, ändern



Ähnliche Themen: Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar


  1. Nach dem Löschen von startsearch.com funktioniert der IE 11 nicht mehr
    Log-Analyse und Auswertung - 17.03.2015 (11)
  2. Win 7 Rechner infiziert durch .exe file, Desktop nicht mehr zugreifbar, Lösegeldforderung...
    Log-Analyse und Auswertung - 15.03.2015 (27)
  3. Nach Download eines Spiels nur noch Desktop Hintergrund sichtbar
    Plagegeister aller Art und deren Bekämpfung - 02.03.2015 (1)
  4. nach Befall durch BKA Virus Entfernung durch Fachhandel Jetzt startet Windows sicherheitsdienst nicht mehr
    Log-Analyse und Auswertung - 05.06.2014 (14)
  5. Nach Hochfahren v. Windows XP nur Desktop Hintergrund zu sehen....nix tut sich
    Alles rund um Windows - 22.11.2012 (4)
  6. #Nach Virus keine Icons auf dem Desktop mehr!
    Plagegeister aller Art und deren Bekämpfung - 17.06.2012 (30)
  7. Nach anklicken auf Jpeg Desktop nicht mehr unter Kontrolle
    Plagegeister aller Art und deren Bekämpfung - 12.04.2012 (9)
  8. PC startet nicht mehr nach Löschen von .exe Datei wegen des Bundeskriminalpolizei-Virus
    Log-Analyse und Auswertung - 16.12.2011 (3)
  9. Trojeaner TR/Crypt.fkm.gen lässt sich durch AntiVir nicht löschen
    Log-Analyse und Auswertung - 16.10.2011 (3)
  10. Virenfund Antivir (u.a. Tr-gender), nach Neustart komm ich nicht mehr aufs Desktop
    Plagegeister aller Art und deren Bekämpfung - 04.09.2011 (30)
  11. Windows Fix Disk - Dateien nicht mehr sichtbar! Desktop mit schwarzem Hintergrund!
    Log-Analyse und Auswertung - 30.04.2011 (18)
  12. Desktop startet nicht mehr nach Viruslöschung
    Alles rund um Windows - 12.09.2010 (4)
  13. Nach einer Minute nur noch Desktop-Hintergrund
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (1)
  14. Nach Virus löschen kein Doppelklick mehr möglich Windows findes Skript dat nicht.
    Plagegeister aller Art und deren Bekämpfung - 26.02.2010 (3)
  15. AntiVir entfernt Virus - nach Neustart kein Explorer/Desktop/Taskmanager
    Log-Analyse und Auswertung - 11.11.2009 (3)
  16. AntiVir und Ad-Aware läuft nicht mehr durch
    Log-Analyse und Auswertung - 02.07.2009 (2)
  17. Kann den Desktop-Hintergrund nicht mehr ändern...
    Log-Analyse und Auswertung - 19.02.2007 (1)

Zum Thema Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar - Hallo! ich hatte heute auf einmal als Hintergrundbild eine Nachricht "Windows Warning Message - Spyware detected on your Computer". Habe mir daraufhin AntiVir heruntergeladen und laufen lassen, die infizierten Files - Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar...
Archiv
Du betrachtest: Nach Löschen von Virus durch AntiVir Desktop-Hintergrund nicht mehr editierbar auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.