Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: file://C:\WINDOWS\desktop.html wie geht das weg )

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.03.2005, 16:34   #31
crossie
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Hallo erstmal !

Hatte das gleiche Problem !

Das mit dem Desktop habe ich durch eure Hilfe wieder hin bekommen.

Meine Startseite wird aber immer wieder geändert und danach sieht der Desktop wieder genauso aus, ausserdem habe ich in der Schnellstartleiste ein Ausrufezeichen und es machen immer wieder Seite auf von irgenwelchen Sexseiten !

Ausserdem geht immer wieder ein Fenster auf mit "Error #317" irgendwelche Viren wurden erkannt , wenn man darauf klickt kommt man auf eine Seite auf der man Spy- und Antiviren Programme kaufen kann.



Hier mein hijackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 16:41:10, on 17.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Downloads\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: concept/design's onlineTV - {B8B1BEA5-F4C0-4AC9-A9A2-9EB76C8C12BD} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094472381044
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://grempf1000.dyndns.org:10002/a...CamControl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 17.03.2005, 20:29   #32
chaosman
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



@crossie
du hast den hier im system
http://www.sophos.de/virusinfo/analyses/trojspyrea.html
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

system und IE updaten
wechsle danach in den abgesicherten modus und fixe mit HJT
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

lösche danach manuell
C:\PROGRA~1\FlashGet\JetCar.exe
C:\PROGRA~1\FlashGet\jc_link.htm
C:\WINDOWS\System32\spoolsrv32.exe
C:\PROGRA~1\FlashGet\jccatch.dll
lösche ordner
C:\PROGRA~1\FlashGet
neu booten, neues HJT logfile posten
Flashget läuft mit werbung, nimm lieber LeechGet oder getRight
chaosman
__________________

__________________

Alt 21.03.2005, 18:08   #33
crossie
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Geht leider immer noch nicht !

Hier der Log :

Logfile of HijackThis v1.99.1
Scan saved at 18:14:22, on 21.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\programme\trafficdetector\Trafficdetector.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Downloads\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [Trafficdetector] c:\programme\trafficdetector\Trafficdetector.exe
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: concept/design's onlineTV - {B8B1BEA5-F4C0-4AC9-A9A2-9EB76C8C12BD} - C:\Programme\onlineTV\onlineTV.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094472381044
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://grempf1000.dyndns.org:10002/a...CamControl.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________________

Alt 21.03.2005, 18:17   #34
dartus
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Hallo,

schau Dir diesen Thread mal an:

http://www.trojaner-board.de/showthr...2&page=2&pp=10

dartus

Alt 25.03.2005, 15:18   #35
padd_y
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Ausrufezeichen

file://C:\WINDOWS\desktop.html wie geht das weg )



Hallo Trojanervirenwurm-Geplagte..

Ich hatte mir auch die Desktop-Warnung "YOU'RE IN DANGER" eingefangen und wurde von weiteren Plagegeistern, die auch in diesem Thread erwähnt werden, beglückt (dreieckiges gelbes Programmpiktogramm mit Ausrufezeichen und Popup-Fenstern, automatische Verlinkung auf eine Webseite mit AntiSpyware-Programmen).

Dank des Beitrages von <chaosman> bin ich den Wahnsinn nun wieder los - Ächz!

Es sind mir beim Durcharbeiten des Threads aber so viele Besonderheiten aufgefallen, daß ich mich entschlossen habe, diesen Beitrag zu schreiben.

Die erste Frage, die ich mir stellte, war, ob die vielen Warnungen, mit denen man es zu tun, irgendwie im Zusammenhang mit WINDOWS stehen. Wenn ich es jetzt richtig verstanden habe, ist nichts davon Microsoft zuzuschreiben, sondern allein die Ausgeburt des Trojaner-Erstellers (insbesondere das dreieckige gelbe Programmpiktogramm gibt sich textuell als Windows-Servicemeldung aus).

1. Wiederholt wird im Thread empfohlen, den Eintrag "Security" in der Web-Karteikarte von Desktop anpassen (Programm Anzeige) zu deaktivieren.
M.E. entfernt das zwar das nervige Desktopbild und bringt das eigene Hintergrundbild wieder zum Vorschein, ist aber eine reine Teilsymptombekämpfung und vermutlich völlig unnötig, wenn man den Trojaner gleich richtig entfernt.

2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können.

3. Der nützliche Verweis von <chaosman> auf http://www.sophos.de/virusinfo/analyses/trojspyrea.html hat mich ganz schön verwirrt. Dort soll nämlich die <runsrv32.dll> der Übeltäter sein.
Ich hatte aber keine solche Datei auf meinem Rechner (zumindest nach Durchlauf von SpybotSD).
Stattdessen die von <chaosman> beschriebene C:\WINDOWS\System32\spoolsrv32.exe

4. Der Beitrag von <chaosman> ist ja auf einen bestimmten User zugeschnitten. Ich brauchte eine Weile, um zu kapieren, daß in dem Beitrag die Behebung von 2 unabhängigen Problemen beschrieben wird.

In meinem Fall ging es nur um <O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe>
Alle Hinweise zu <FlashGet> waren für mich irrelevant und stehen m.E. nicht im Zusammenhang mit dem hier diskutierten Trojaner "Spyre-A".

5. Nach dem Fixen&Löschen im abgesicherten Modus dauerte es ewig, bis mein Rechner wieder hochgefahren war. Das Hintergrundbild war als Einziges minutenlang zu sehen. Hab dann noch mal runter&raufgefahren, jetzt ist gottseidank wieder alles normal.

Danke nochmal an alle, die sich die Mühe machen, anderen über Beiträge zu helfen oder sogar Software wie den <hijackthis> zur Verfügung stellen, um diesem Wahnsinn beizukommen.
Ich war ganz schön entnervt und bin heilfroh, daß mein Laptop nun wieder gesund ist!!

In diesem Sinne,
Ciao padd_y


Alt 27.03.2005, 11:57   #36
Tarheel
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Ich habe auch das Problem mit dem weißen Bildschirm und bin bei der Lösungssuche auf die Seite gestossen. Ich hab versucht den Thread von Silverdrug v. 02.11.04 in die Tat umzusetzen.Wenn ich so verfahre, (Aktivierung Taskleiste automatisch ausblenden) sehe ich keinen Teil des "alten Desktop".
Klicke ich auf die Stelle, wo zuvor ein Teil des Taskleiste abgebildet war, erscheint lediglich " Direkthilfe". Wie oder wo erscheint der "alte Desktop"?
Danke für eventuelle Hilfestellung

Alt 27.03.2005, 12:12   #37
chaosman
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



@padd_y
2. Der Durchlauf des SpybotSD hat bei mir zwar zu 19 Treffern geführt, den hier betrachteten Trojaner aber nicht beseitigen können.

Spybot wird gegen spyware eingesetzt, nicht gegen "trojaner", auch wenn die bezeichnungen fließend sind.
www.comsafe.de
http://www.comsafe.de/angreifer.html#trojaner
http://www.comsafe.de/angreifer.html#spyware
lese dich hiermal durch
http://www.safer-networking.org/de/a...-managers.html

imho ich benütze lieber ein downloader ohne werbungsbanner als mit.
aber das ist jeder selbst überlassen.

@Tarheel,
poste ein HJT logfile
direktdownload
anleitung

chaosman
__________________
Bonus vir semper tiro

Alt 08.04.2005, 18:36   #38
DoubleM
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Hab auch das Problem des weissen Desktops ... heute mittag ists passsiert ich hatte auf einmal auch diese seltsame seite und ausserdem noch ein paar andere viren denn mein pc schmierte mir laufend ab . .also hab ich die festplatte ausgebaut und zu nem freund geshcleppt ... adAware und XP AntiVir drüber laufen lassen alles entfernt ... leider hab ich nun diesen weissen desktop mit den standartsymbolen den ich weder rechtsklicken kann noch in der anzeige aktivieren kann ..

einen eintrag "security" im web verzeichniss unter anzeige gibts leider nich bei mir .. ich hoffe hilfe .. falls ich nen log posten soll gebt mir bitte ne anleitung hab das noch nie gemacht ich bitte / hoffe um hilfe

Des weiteren habe ich gerade festgestellt das ich wede rordner noch dateien noch leere flächen in meinem Explorer mit rechts anklicken kann.. da is was faul ..

Edit: Habs grade selber mal gemacht .. hier mein log:


O1 - Hosts: 82.179.166.192 new-search.net
O1 - Hosts: 82.179.166.190 x-google.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~3.2\bin\jusched.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Deamon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\STARDOCK\WINCUS~1\BOOTSKIN\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\dtwfi.exe
O4 - HKLM\..\Run: [Bhu] C:\WINDOWS\Dif.exe
O4 - HKLM\..\Run: [Disk Keeper] C:\DOKUME~1\DoubleM\LOKALE~1\Temp\keep.exe
O4 - HKLM\..\Run: [Bsu] C:\WINDOWS\System32\Nld.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Bhu] C:\WINDOWS\Dif.exe
O4 - HKCU\..\Run: [Bsu] C:\WINDOWS\System32\Nld.exe
O4 - Startup: Trillian.lnk = O:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x29.chm::/trs29.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107874898734
O17 - HKLM\System\CCS\Services\Tcpip\..\{F69AE524-8381-42B9-B75B-FC01BBBD51C0}: NameServer = 192.168.1.1
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O20 - Winlogon Notify: WB - D:\PROGRA~1\WINDOW~1\fastload.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\DoubleM\Desktop\FanSpeed1_2_0\fanspeedNT.exe" (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

Geändert von DoubleM (08.04.2005 um 18:58 Uhr)

Alt 19.04.2005, 18:15   #39
leandro
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

warning! you're in danger!



hallo leute,

ich hatte mal wieder das verlangen nach etwas nackter haut

und jetzt hab ich den salat

seit 2 tagen ist mein hintergrundbild ge-hijackt

und ich hab auch noch ein paar trojaner dazu bekommen !!!

ich habe stundenlang alle ergebnisse die mir google diesbezüglich ausgespuckt hat gelesen... aber irgendwie hab ich den "krampf" immer noch drauf

ich habe es auch mit :

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

versucht !!!

Aber, wenn ich bei mir auf die eigenschaften klicke... dann stehen dort nur die Register >>> Bildschirmschoner und Einstellungen... von desktop oder web ist da nichts zu sehen ??? das heißt ich komme gar nicht dazu die einträge zu löschen weil ich nicht darauf zugreifen kann !!!???

also entweder bin ich zu blöd dafür oder ich hab eine neuere version von diesem hijacker drauf !!!???

ich hab auch schon einige "exe" dateien aus meinem system32 ordner gelöscht... unter anderem waren da..

- cmdtel.exe
- cmdteld.exe
- mocih.exe
- mocihd.exe
- spoolsvr32.exe

und da waren auch noch :

- dc14.html
- dc6.exe
- dc7.html

die im verzeichnis "c: recycler..." sein sollen aber ich finde diesen ordner nicht ???

vielleicht hat ja jemand von euch schon mal dieses problem gehabt/gelesen... ich komme jedenfalls aus eigener kraft nicht mehr weiter

hier ist mein hijack-log :

Logfile of HijackThis v1.99.1
Scan saved at 18:33:45, on 19.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Dell\OpenManage\Client\Iap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\DSL Speed Manager 5.11\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\windows\system32\taskmg.exe
C:\WINDOWS\System32\ctfmon.exe
D:\AOL 9.0\aoltray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\DSL Speed Manager 5.11\tsmsvc.exe
E:\Hi Jack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe


ich danke euch im voraus und verbleibe

bis bald

leandro

Alt 19.04.2005, 18:30   #40
Gigamail
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Hi,

checke Dein system mal mit escan. Beschreibung richtig lesen!

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen:

"öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
Wenn du dir das einzeln suchen ersparen willst:
Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\find.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 20.04.2005, 01:33   #41
leandro
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



hallo,

erstmal ein herzliches dankeschön an "gigamail"

ich hab jetzt den mwav.log.... der scan hat zwar ca. 3 std. gedauert und mich hats fast vom hocker gehauen als ich vorhin nach hause kam und feststellen musste das auf meinem system 37 trojaner drauf sind
aber wenigstens weiß ich jetzt bescheid !!!

das schlimme an der ganzen sache sind nicht die ganzen trojaner...
mir machen die ganzen programme die ich zuvor laufen lies sorgen...
ich hab mein system mit : mcaffe, norton, adaware, spybot, hijackthis, lsp fix,
cwshredder, findnfix usw.... gescannt und keins davon hat mir die trojaner ausgespürt !!!???

und ich dachte ich bin gut gerüstet und habe gegen alle schädlinge ein mittel

ach ja, in der anleitung von MWAV stand was von:

Das MicroWorld AntiVirus Toolkit Utility entfernt ab der Version 4.5.1 leider die gefundene Malware nicht mehr automatisch. Hier müssen gefundene Dateien manuell im abgesicherten Modus entfernt werden.

aber bevor ich das mache, dachte ich mir... ich poste erst mal den Log um eure meinung zu hören !!!


hier nun mein MWAV Log :



Tue Apr 19 20:15:55 2005 => MicroWorld AntiVirus Toolkit Utility.
Tue Apr 19 20:15:55 2005 => Version 6.0.8 (C:\bases_x\mwavscan.com)
Tue Apr 19 20:15:55 2005 => Log File: C:\bases_x\MWAV.LOG
Tue Apr 19 20:15:55 2005 => MWAV Registered: FALSE.
Tue Apr 19 20:15:55 2005 => MWAV Mode: Only Scan files.
Tue Apr 19 20:15:55 2005 => Latest Date of files inside MWAV: 19 Apr 2005 20:22:50



Tue Apr 19 23:39:50 2005 => Total Objects Scanned: 71484
Tue Apr 19 23:39:50 2005 => Total Virus(es) Found: 37
Tue Apr 19 23:39:50 2005 => Total Disinfected Files: 0
Tue Apr 19 23:39:50 2005 => Total Files Renamed: 0
Tue Apr 19 23:39:50 2005 => Total Deleted Objects: 0
Tue Apr 19 23:39:50 2005 => Total Errors: 83
Tue Apr 19 23:39:50 2005 => Time Elapsed: 03:20:07
Tue Apr 19 23:39:50 2005 => Virus Database Date: 2005/04/19
Tue Apr 19 23:39:50 2005 => Virus Database Count: 126815


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
493:Tue Apr 19 20:20:12 2005 => File c:\windows\system32\taskmg.exe infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
1919:Tue Apr 19 20:21:49 2005 => File C:\WINDOWS\System32\mtfxcakt.exe infected by "Trojan-Dropper.Win32.Agent.ii" Virus. Action Taken: No Action Taken.
1922:Tue Apr 19 20:21:49 2005 => File C:\WINDOWS\System32\mtuqaaaa.exe infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
2407:Tue Apr 19 20:22:19 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
2515:Tue Apr 19 20:22:26 2005 => File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
2681:Tue Apr 19 20:22:36 2005 => File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
6392:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp11.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
6395:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp12.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
6400:Tue Apr 19 20:25:33 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp13.tmp infected by "Trojan.Win32.Hpt.j" Virus. Action Taken: No Action Taken.
6405:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp2.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6408:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp3.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6411:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp4.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6417:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp8.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6420:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmp9.tmp infected by "Trojan-Downloader.Win32.Murlo.w" Virus. Action Taken: No Action Taken.
6423:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmpA.tmp infected by "Trojan-Downloader.Win32.Small.aql" Virus. Action Taken: No Action Taken.
6426:Tue Apr 19 20:25:34 2005 => File C:\Dokumente und Einstellungen\Andro\Lokale Einstellungen\Temp\tmpC.tmp infected by "Trojan-Downloader.Win32.Agent.mc" Virus. Action Taken: No Action Taken.
13701:Tue Apr 19 20:40:14 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc1.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
13705:Tue Apr 19 20:40:15 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc3.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
13709:Tue Apr 19 20:40:15 2005 => File C:\RECYCLER\S-1-5-21-1229272821-926492609-682003330-1003\Dc5.exe infected by "not-a-virus:AdWare.FindSpy.e" Virus. Action Taken: No Action Taken.
16205:Tue Apr 19 20:42:22 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP77\A0033230.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
20003:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043950.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken.
20006:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043951.exe infected by "Email-Worm.Win32.Bagz.i" Virus. Action Taken: No Action Taken.
20009:Tue Apr 19 20:45:10 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043952.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken.
20012:Tue Apr 19 20:45:11 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043953.exe infected by "Email-Worm.Win32.Bagz.h" Virus. Action Taken: No Action Taken.
20030:Tue Apr 19 20:45:12 2005 => File C:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP84\A0043969.exe infected by "Trojan.Win32.Agent.ct" Virus. Action Taken: No Action Taken.
28351:Tue Apr 19 20:58:41 2005 => File C:\WINDOWS\system32\mtfxcakt.exe infected by "Trojan-Dropper.Win32.Agent.ii" Virus. Action Taken: No Action Taken.
28354:Tue Apr 19 20:58:41 2005 => File C:\WINDOWS\system32\mtuqaaaa.exe infected by "Trojan-Dropper.Win32.Small.uz" Virus. Action Taken: No Action Taken.
29296:Tue Apr 19 20:59:39 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
29404:Tue Apr 19 20:59:46 2005 => File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.g" Virus. Action Taken: No Action Taken.
29772:Tue Apr 19 21:00:11 2005 => File C:\WINDOWS\system32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.
36544:Tue Apr 19 22:06:39 2005 => File D:\System Volume Information\_restore{997CB775-1652-4E8D-BC90-5E4C69166631}\RP79\A0033814.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
75427:Tue Apr 19 23:39:50 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8445:Tue Apr 19 20:27:58 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
30344:Tue Apr 19 21:00:59 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30348:Tue Apr 19 21:00:59 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30360:Tue Apr 19 21:01:02 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
30528:Tue Apr 19 21:01:58 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
74706:Tue Apr 19 23:38:52 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



tja... das sieht mir nach ner menge arbeit aus

Alt 20.04.2005, 11:48   #42
Gigamail
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Du solltest unbedingt Dein Windows updaten auf SP 2

Zitat:
Das MicroWorld AntiVirus Toolkit Utility entfernt ab der Version 4.5.1 leider die gefundene Malware nicht mehr automatisch. Hier müssen gefundene Dateien manuell im abgesicherten Modus entfernt werden.
Nur die Kaufversion löscht. Mit Freeware muss von Hand gelöscht werden.

Du hast einige Sachen drauf die unter anderem Passwörter ausspionieren, das sollte dir zu denken geben!
Trojan-Downloader.Win32.Small.aql --> Zitat Antiviruslab:
Allgemeine Beschreibung:
Trojan-Downloader.Win32.Small.aql ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert.
Trojan-Downloader.Win32.Adload.g --> Allgemeine Beschreibung:
Trojan-Downloader.Win32.Adload.g ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert.

Lade Dir LspFix hier
lade Spybot-S&D
und Ad-Aware und update beide Programme

--> boote in den
abgesicherter Modus , deaktiviere die
Systemwiederherstellung ,scanne nach einander mit Spybot und Ad-Aware und lösche alle gefundenen Sachen fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - Startup: PowerReg Scheduler.exe -->Prozess vorher beenden
O23 - Service: Trace network connections (ACCRA) - Unknown owner - C:\WINDOWS\System32\mocih.exe (file missing)
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)

Datenträgerbereinigung:

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Windowstaste+R --> cleanmgr --> <enter>
Klick bei Temporary Internet Files --> <enter>
Papierkorb leeren

alle Funde für "infected" im Verzeichnis Windows\System32 von Hand löschen
Wenn sie nicht sichtbar sind, folgende Einstellung:Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" ->
Haken entfernen bei "Geschützte Systemdateien ausblenden
(empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Die Dateien in dem Ordner D:\System Volume Information\_restore
sind nach einem Neustart weg
Escan nochmal im abgesicherten Modus laufen
Neu booten neues HJT posten und Ergebnisse von eScan.
Solltest Du Probleme haben ins Netz zu kommen repariere mit LspFix
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 20.04.2005, 14:29   #43
leandro
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



hallo gigamail,

zum glück habe ich einen zweiten rechner mit dem ich jetzt ins netz gehe... den infizierten lasse ich solange er nicht sauber ist offline !

ich bin grad am "verpesteten rechner" im abgesicherten modus und hab auch die systemwiederherstellung deaktiviert... momentan läuft adaware...

die ganze zeit überlege ich ob ich mir die ganze action sparen und gleich die ganze platte löschen soll ??? da schlimme dabei ist... ich habe einfach zu viele sachen drauf und müsste alles neu installieren und das würde höchstwahrscheinlich noch länger dauern !?!?!?!

ich glaub das alles einfach nicht

ich melde mich sobald ich mit der säuberung durch bin...

hoffentlich klappt alles

bis dann und vielen dank für deine hilfsbereitschaft

tschüüü....

Alt 20.04.2005, 14:39   #44
chaosman
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



@leandro
falls du neu aufsetzen möchtest
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


chaosman
__________________
Bonus vir semper tiro

Alt 20.04.2005, 15:38   #45
leandro
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



@chaosman

vielen dank für den link... ich schau jetzt erstmal ob ich die "trojaner" mit hilfe von adaware, spybot usw... bzw. "manuell" weckbekomme... falls das nicht klappen sollte werde ich mir deinen vorschlag zu herzen nehmen

@gigamail

ich bin mit allen punkten fast durch

und werde mir demnächst dieses "kaspersky" holen...
dann brauch ich den ganzen "mist" bei nächsten mal (hoffentlich passiert das nie wieder) nicht manuell zu löschen

sobald ich die neuen "escan & hijack" Log's habe... melde ich mich wieder !!!

bis dahin

viel erfolg bei der trojaner bekämpfung

leandro

Antwort

Themen zu file://C:\WINDOWS\desktop.html wie geht das weg )
angezeigt, anklickbar, arbeitsplatz, befindet, bild, datei, desktop, einfach, file, frage, gelöscht, handel, homepage, icons, klicke, klicken, kurze, links, meinem, netzwerkumgebung, neuste, nicht mehr, papierkorb, rechtsklick, seite, unter, verschwunden, vorhanden, windows



Ähnliche Themen: file://C:\WINDOWS\desktop.html wie geht das weg )


  1. Windows 7: Verschiedene Virenmeldungen: ADWARE/FDealPly.I - HTML/FCrypted.Gen - HTML/FExpKit.Gen3
    Log-Analyse und Auswertung - 26.04.2015 (11)
  2. Windows 7: resource://firefox.abs.avira.com/html/blocked.html
    Log-Analyse und Auswertung - 16.12.2014 (9)
  3. Avira Desktop lässt sich nicht aktivieren & Windows Updates geht nicht mehr: Schlüssel im angegebenen Status nicht gültig!
    Antiviren-, Firewall- und andere Schutzprogramme - 08.11.2014 (16)
  4. Windows 8 : abgesicherter Modus geht nicht, Desktop gesperrt
    Log-Analyse und Auswertung - 30.11.2013 (1)
  5. file:///C:/ProgramData/Avira/AntiVir%20Desktop/IPM/IpmDocument.html
    Log-Analyse und Auswertung - 09.10.2012 (14)
  6. Start Windows 7 white Screen dann leerer Desktop abgesichterer Modus geht normal
    Log-Analyse und Auswertung - 08.08.2012 (9)
  7. DESKTOP wird angezeigt und NICHTS geht mehr...was nun?
    Log-Analyse und Auswertung - 24.03.2012 (1)
  8. .html datein verstopfen desktop
    Log-Analyse und Auswertung - 19.02.2012 (21)
  9. Hijack Log file Post - HTML Virus vielleicht?
    Log-Analyse und Auswertung - 18.11.2010 (24)
  10. hijackthis log-file : Trojan.Exploit.Html.Iframe.Filedownload.FI
    Log-Analyse und Auswertung - 09.02.2008 (3)
  11. Mein Desktop ist eine HTML !?!?!?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2007 (1)
  12. log file mit Desktop-Problemen
    Log-Analyse und Auswertung - 13.09.2005 (1)
  13. Goabot oder Desktop.html
    Log-Analyse und Auswertung - 27.05.2005 (11)
  14. desktop.html Hijackthis
    Log-Analyse und Auswertung - 19.05.2005 (3)
  15. Fehler in winexplorer -->Desktop leer, nichts geht
    Plagegeister aller Art und deren Bekämpfung - 30.03.2005 (4)
  16. Problem: Hintergrund nurnoch grau, desktop.html
    Log-Analyse und Auswertung - 25.03.2005 (16)
  17. Desktop ist html-file
    Log-Analyse und Auswertung - 31.07.2004 (5)

Zum Thema file://C:\WINDOWS\desktop.html wie geht das weg ) - Hallo erstmal ! Hatte das gleiche Problem ! Das mit dem Desktop habe ich durch eure Hilfe wieder hin bekommen. Meine Startseite wird aber immer wieder geändert und danach sieht - file://C:\WINDOWS\desktop.html wie geht das weg )...
Archiv
Du betrachtest: file://C:\WINDOWS\desktop.html wie geht das weg ) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.