Huhu kurze frage,

Seit neusten Ist mein Desktop Bild nicht mehr zu sehen, dort befindet sich eine Homepage seite mit Links die ich anklicken kann. Die Icons "Papierkorb" "Netzwerkumgebung" etc. sind alle noch vorhanden und anklickbar (nur der Arbeitsplatz ist verschwunden). Oki wenn ich jetzt auf dem Desktop rechtsklick eigenschaften mache, werden die eigenschaften dieser Html. seite angezeigt die über meinem Desktop bild und unter den Desktop icons sich befindet. Dorst steht das es sich um die datei handelt:

file://C:\WINDOWS\desktop.html

Jetzt habe ich die gelöscht, doch jetzt ist der Desktop einfach nur weiss mit den Icons.

Habts vielleicht ein Tipp ?

Hallo Silverdrug,

Du bist Opfer des Browser-Hijackings geworden. Wir werden tun, was wir können, um Dir zu helfen. Erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es. Anhand des Logfiles können wir erkennen, welche Einträge auf Deinem System gefixed, also entfernt werden müssen, damit Dein Rechner wieder so läuft, wie Du es gerne hättest.

Lieben Gruss
SD

Logfile of HijackThis v1.98.2
Scan saved at 09:03:31, on 03.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099179463687

Also ich kenne mich ja nicht so gut da aus. aber auf dem log konnte ich erstemal nix finden, vielleicht habts ja nen Tip

@Silverdrug

im log sehe ich nichts besonderes, hast du schon mal versucht dein desktop ansicht zu veränder?
und danach neu zu booten?
ist dein desktop dann wieder weiß?

chaosman

ich habe das problem auch und weis nicht weiter ...
HILFE !!!!

hallo ,

ich habe das selbe problem . Ich habe einen link angeklickt und dann war da eine komische Meldung auf meinem Desktop.Ich habe dann die Datei file://C:\WINDOWS\desktop.html gelöscht . Dann ist diese komische Meldung weggegangen , aber nun ist mein Desktop zum Teil weiß/beige . und das geht nicht mehr weg.Muss ich meinen pc jetzt formatieren , oder kann man dieses problem auch anders wegmachen??

Danke für diese guten erklärungen! hab es jetzt geschafft es weg zu machen!! jippie! danke sehr

Mir geht es genau so, aber leider habe ich keinerlei große Computererfahrung. Also cih will mal beschrieben wie das bei mir ist. Mir ist folgendes passiert:
Ich bin auf eine Website gegangen dann kann da so ne seite von smar security (was immer das auch ist). Dann hatte ich das auch als Destkopelement, dieses "Your in Danger!", das konnte ich löschen jetzt hab ich so nen papyrusfarbenen Hintergrund der sich manchmal mit nem weißen Hintergrund abwechselt sozusagen. Und ich hab leider kaum Erfahrung und Ahnung könntet ihr mir das bitte genau erklären ja?? Das wäre voll wichtig und so cool wenn ihr das machen würdet!!!

Daniel

Hast du denn das, was hier in dem Thread beschrieben ist, schon probiert?
Z.BSp:

"1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen"


Ansonsten brauchen wir erst mal mehr Informationen über deinen Rechner, erstelle ein Hijackthis-Log:

http://www.hijackthis.de/forum/showthread.php?t=17

und poste es hier in das entsprechende Forum in einen neuen Thread, weil es sonst zu unübersichtlich wird.

oh ja danke ne noch nciht mach ich am besten mal thx

cool thx das klappt cool ich fertige trotzdem ncoh mla das protokoll an!!!

Hallo Trojanervirenwurm-Geplagte..

Ich hatte mir auch die Desktop-Warnung "YOU'RE IN DANGER" eingefangen und wurde von weiteren Plagegeistern, die auch in diesem Thread erwähnt werden, beglückt (dreieckiges gelbes Programmpiktogramm mit Ausrufezeichen und Popup-Fenstern, automatische Verlinkung auf eine Webseite mit AntiSpyware-Programmen).

Dank des Beitrages von <chaosman> bin ich den Wahnsinn nun wieder los - Ächz!

Es sind mir beim Durcharbeiten des Threads aber so viele Besonderheiten aufgefallen, daß ich mich entschlossen habe, diesen Beitrag zu schreiben.

Die erste Frage, die ich mir stellte, war, ob die vielen Warnungen, mit denen man es zu tun, irgendwie im Zusammenhang mit WINDOWS stehen. Wenn ich es jetzt richtig verstanden habe, ist nichts davon Microsoft zuzuschreiben, sondern allein die Ausgeburt des Trojaner-Erstellers (insbesondere das dreieckige gelbe Programmpiktogramm gibt sich textuell als Windows-Servicemeldung aus).

1. Wiederholt wird im Thread empfohlen, den Eintrag "Security" in der Web-Karteikarte von Desktop anpassen (Programm Anzeige) zu deaktivieren.
M.E. entfernt das zwar das nervige Desktopbild und bringt das eigene Hintergrundbild wieder zum Vorschein, ist aber eine reine Teilsymptombekämpfung und vermutlich völlig unnötig, wenn man den Trojaner gleich richtig entfernt.

2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können.

3. Der nützliche Verweis von <chaosman> auf http://www.sophos.de/virusinfo/analyses/trojspyrea.html hat mich ganz schön verwirrt. Dort soll nämlich die <runsrv32.dll> der Übeltäter sein.
Ich hatte aber keine solche Datei auf meinem Rechner (zumindest nach Durchlauf von SpybotSD).
Stattdessen die von <chaosman> beschriebene C:\WINDOWS\System32\spoolsrv32.exe

4. Der Beitrag von <chaosman> ist ja auf einen bestimmten User zugeschnitten. Ich brauchte eine Weile, um zu kapieren, daß in dem Beitrag die Behebung von 2 unabhängigen Problemen beschrieben wird.

In meinem Fall ging es nur um <O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe>
Alle Hinweise zu <FlashGet> waren für mich irrelevant und stehen m.E. nicht im Zusammenhang mit dem hier diskutierten Trojaner "Spyre-A".

5. Nach dem Fixen&Löschen im abgesicherten Modus dauerte es ewig, bis mein Rechner wieder hochgefahren war. Das Hintergrundbild war als Einziges minutenlang zu sehen. Hab dann noch mal runter&raufgefahren, jetzt ist gottseidank wieder alles normal.

Danke nochmal an alle, die sich die Mühe machen, anderen über Beiträge zu helfen oder sogar Software wie den <hijackthis> zur Verfügung stellen, um diesem Wahnsinn beizukommen.
Ich war ganz schön entnervt und bin heilfroh, daß mein Laptop nun wieder gesund ist!!

In diesem Sinne,
Ciao padd_y

Ich habe auch das Problem mit dem weißen Bildschirm und bin bei der Lösungssuche auf die Seite gestossen. Ich hab versucht den Thread von Silverdrug v. 02.11.04 in die Tat umzusetzen.Wenn ich so verfahre, (Aktivierung Taskleiste automatisch ausblenden) sehe ich keinen Teil des "alten Desktop".
Klicke ich auf die Stelle, wo zuvor ein Teil des Taskleiste abgebildet war, erscheint lediglich " Direkthilfe". Wie oder wo erscheint der "alte Desktop"?
Danke für eventuelle Hilfestellung

@padd_y
2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können.

Spybot wird gegen spyware eingesetzt, nicht gegen "trojaner", auch wenn die bezeichnungen fließend sind.
www.comsafe.de
http://www.comsafe.de/angreifer.html#trojaner
http://www.comsafe.de/angreifer.html#spyware
lese dich hiermal durch
http://www.safer-networking.org/de/a...-managers.html

imho ich benütze lieber ein downloader ohne werbungsbanner als mit.
aber das ist jeder selbst überlassen.

@Tarheel,
poste ein HJT logfile
direktdownload
anleitung

chaosman