Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: file://C:\WINDOWS\desktop.html wie geht das weg )

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.04.2005, 18:26   #46
leandro
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



halloooo,

ich habs endlich hinter mir... alle trojaner sind weck

hier ist mein hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:30:55, on 20.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\Hi Jack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\DSL Speed Manager 5.11\SpeedMgr.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DSL Speed Manager 5.11\tsmsvc.exe


bei MWAV hab ich nur noch...


Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
83558:Wed Apr 20 16:13:24 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
98974:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
98978:Wed Apr 20 16:41:10 2005 => File D:\Aida Sys Info 3.93\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
98990:Wed Apr 20 16:41:12 2005 => File D:\Aida Sys Info 3.93\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
99158:Wed Apr 20 16:42:08 2005 => File D:\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
137130:Wed Apr 20 17:59:40 2005 => File E:\Winamp 5.08\Winamp\Skins\EPS_High-End_System_v1_test.wal tagged as not-a-virus:Tool.Win32.Shutdown. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


jetzt kann ich die Systemwiederherstellung wieder aktivieren oder !?


Das einzige was jetzt noch fehlt... weswegen ich eigentlich hier war/bin...
ist dieses verdammte "desktop.html"

Ich hatte dieses problem schon mal auf meinem alten rechner mit Win2000pro SP4 und der trick mit:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

hat damals funktioniert !!!

Aber jetzt klappts einfach nicht.. wenn ich jetzt die taskleiste auf automatisch ausblenden setze... und auf meinen desktop schaue dann ist sie zwar ausgeblendet aber von meinem alten desktop kann ich trotzdem nichts sehen, nicht mal einen kleinen teil !?!?!?

außerdem kommt noch hinzu... das ich unter den "Eigenschaften für Anzeige" nur noch die Register >>> "Bildschirmschoner und Einstellungen" zur Auswahl stehen habe !?!?!? von desktop oder web ist da nichts zu sehen ???

was mache ich falsch ... woran kann das liegen ????



bis bald

lg

leandro


P.S.: mir ist aufgefallen das meinen antiviren prog. & firewall nicht mehr automatisch gestartet werden ? und ändern kann ich das auch nicht ?
da muss noch irgendwas faul sein ?

Geändert von leandro (20.04.2005 um 19:17 Uhr)

Alt 20.04.2005, 20:08   #47
Gigamail
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Dein Logfile sieht jetzt sauber aus. Du solltest aber noch den IE updaten. IE nur noch für Windowsupdates verwenden, aber die regelmäßig durchführen.Benutze in Zukunft alternative Browser wie z. B.
http://filepony.de/download-opera/
http://www.mozilla.org/

Funde für "tagged" sind nicht gefährlich.
Für die Desktopgeschichte probiere mal noch folgendes:
START>Einstellungen>Systemsteuerung>Anzeige>Desktop>ganz unten "Desktop anpassen" anklicken>dann auf Web
dort "Security" markieren und dann auf löschen klicken.

da Du schon verschiedene Dateien vorher gelöscht hast kann ich nicht sagen obe vielleicht Systemdateien dabei waren.
Du kannst auch noch das probieren:
Windowstaste+R -->sfc /scannow --> <enter>
Du wirst dann nach der Windows CD gefragt dann werden die systemdateien überprüft und gegebenenfalls repariert
__________________

__________________

Alt 20.04.2005, 22:31   #48
leandro
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



hallo nochmal,

also ich kann es nicht oft genung sagen >>> VIELEN DANK FÜR ALLES !!!

danke für die mühe die du dir gemacht hast und vor allem für deine zeit !!!

auf meinem rechner ist jetzt wieder RUHE eingekehrt

leider muss ich dich doch noch mal wegen dieser desktop "pest" löchern

vielleicht reden wir ja aneinander vorbei... wahrscheinlich arbeitest du mit Win2000 und kannst mein problem nicht ganz nachvollziehen...

du hast mir beschrieben wie ich bei win2000 zu den Anzeigeoptionen komme !!!

da ich ja winXP benütze schaut die sache ganz anders aus bei mir...

um zu den anzeige optionen zu kommen muss ich ja...

Start > Systemsteuerung > Darstellung und Designs > Anzeige... klicken !!!

ok so weit so gut... normalerweise habe ich sobald sich die "Eigenschaften von Anzeige" öffnen.... mehrere Register zur Auswahl...
das schaut dann "normalerweise" so aus...

Designs > Desktop > Bildschirmschoner > Darstellung > Eintellungen

worauf ich eigentlich die ganze zeit hinaus will... ist...

das bei mir... wenn ich das Fenster "Anzeige" öffne...

nur die Register "Bildschirmschoner und Einstellungen" zur Auswahl stehen !!!

die register "designs > desktop > darstellungen" stehen nicht da wo sie sein sollten !?!?!?!

und aufgrund dessen komme ich nicht dazu auf "desktop anpassen" zu klicken weil ich ja den register "desktop" nicht zur auswahl habe !!!

ich hoffe das war jetzt verständlich genug erklärt

ich les jetzt mal alles was mir google zu diesem thema anzeigt, vielleicht hatte ja schon mal jemand dieses problem !

auf jeden fall möchte ich ein großes Lob für das "trojaner-board" aussprechen !!! ohne euch wären wir "User" aufgeschmissen

bis bald

lg

leandro
__________________

Alt 20.04.2005, 23:16   #49
Haui45
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Ich bin deinem Problem auf der Spur (hoffe ich zumindest)

Win-Taste + R -> regedit -> Enter

Navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Solltest du dort den Eintrag "NoThemesTab" finden, mach bitte folgendes: Rechtklick darauf-> Ändern-> Wert auf 0 stellen -> OK
Designs sollte wieder erscheinen.

Das Gleiche mit
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage
Desktop sollte wieder erscheinen (Rechtsklick auf NoDispBackgroundPage und Wert ändern)


Sollte es funktionieren, schau ich auch mal ob ich den Eintrag für "Darstellungen" noch finde, hab keine Lust mehr das RegMon-Log durchzuschauen...

P.S: Ich hafte für nichts! (obwohl es eigentlich relativ gefahrlos ist)


EDIT: Prüfe das auch noch für diesen Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage
Falls vorhanden auch auf 0 stellen.

Falls jmd. einen besseren Vorschlag hat: nur her damit

EDIT2: Eigentlich müsste es sich nur um diese beiden handeln:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage

Geändert von Haui45 (20.04.2005 um 23:42 Uhr)

Alt 20.04.2005, 23:29   #50
mmk
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Zitat:
Zitat von leandro
P.S.: mir ist aufgefallen das meinen antiviren prog. & firewall nicht mehr automatisch gestartet werden ? und ändern kann ich das auch nicht ?
da muss noch irgendwas faul sein ?
Ist das noch immer der Fall?


Alt 20.04.2005, 23:41   #51
Cidre
Administrator, a.D.
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



@ll

Ein sehr guten Lösungsweg zu diesem Problem, könnt ihr im Post von Pieter_Arntz nachlesen.

Meine Vorschläge:
Entweder dies oder jenes ausführen und zwar so:
Rechtsklick auf einen der Links -> Ziel speichern unter... -> z.B. der erste Link: 'webtabmissing.reg' unter C:\ abspeichern -> Doppelklick auf 'webtabmissing.reg' und nachfolgende Frage mit 'Ja' bestätigen.

Normalerweise müssten danach alle Reiter wieder zur Verfügung stehen.

EDIT:
Eine ausführliche Erklärung bzw. Auswirkungen zu den einzelnen Einträgen im Reg Key [1] findest du hier:
http://www.pc-tips.ch/registrytip.php
[1] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Da die o.g. Seite momentan leider auf dem Server nicht mehr erreichbar ist, werde ich den Inhalt temporär aus meinem Cache zur Verfügung stellen!
Code:
ATTFilter
Zitat:
Registry-Tips Eintrag Datentyp Wert Auswirkungen Funktionen aus dem Startmenu ausblenden HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoRun DWORD 1 Ausführen wird nicht mehr angezeigt NoFind DWORD 1 Suchen wird nicht mehr angezeigt NoClose DWORD 1 Herunterfahren wird nicht mehr angezeigt NoSetFolders DWORD 1 Systemsteuerung und Drucker werden nicht mehr angezeigt NoStartMenuSubFolders DWORD 1 Alle Ordner werden auf dem benutzerspezifischem Abschnitt ausgeblendet NoSetTaskbar DWORD 1 Taskleiste wird unter Einstellungen nicht mehr angezeigt NoCommonGroups DWORD 1 Die allgemeinen Programmgruppen erscheinen im Startmenu nicht mehr NoBanner DWORD 1 Das Startbanner wird deaktiviert (Win98) NoStartBanner DWORD 1 Es erscheint kein "Klicken Sie hier...." mehr NoTrayContextMenu DWORD 1 Kein Kontextmenu bei Rechtsklick auf Taskbar, Start-Button und Uhr NoSetActiveDesktop DWORD 1 Kein ActiveDesktop mehr unter Start-Einstellungen (Win98) NoFolderOptions DWORD 1 Keine Ordner-Optionen mehr unter Start-Einstellungen und Explorer NoFavoritesMenu DWORD 1 Keine Favoriten im Startmenu NoRecentDocsMenu DWORD 1 Keine "Dokumente" im Startmenu NoChangeStartMenu DWORD 1 Kein Start-Menu NoWindowsUpdate DWORD 1 Kein Windows-Update unter Start-Einstellungen (Win98) NoLogoff DWORD 1 Kein "User Abmelden" unter Start NoSMHelp DWORD 1 Keine Hilfe im Start-Menu (Win2000) NoControlPanel DWORD 1 Keine Eigenschaften im Kontextmenu (Desktop, Arbeitsplatz, Netzwerk, IE, Outlook) NoRecentDocsHistory DWORD 1 Es werden unter Start-Dokumente keine Einträge mehr hinzugefügt NoSMMyDocs DWORD 1 Kein Eintrag "Eigene Dateien" unter Start-Dokumente ForceStartMenuLogoff DWORD 1 "Username abmelden" wird zum Startmenu hinzugefügt (nach StartmenuLogoff) NoRecentDocsNethood DWORD 1 Es wird keine History für das Netzwerk angezeigt Funktionen zur Netzwerksteuerung ausblenden HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network NoFileSharing DWORD 1 Keine "Freigaben" im Netzwerk werden freigegeben NoPrintSharing DWORD 1 Keine Drucker im Netzwerk werden freigegeben NoNetSetup DWORD 1 Netzwerksetup aus der Systemsteuerung wird entfernt (Win98) NoNetSetupIDPage DWORD 1 Identifikation aus der Netzwerkumgebung wird ausgeblendet NoNetSetupSecurityPage DWORD 1 "Zugriffsteuerung" aus der Systemsteuerung-Netzwerke wird entfernt NoDialIn DWORD 1 Der Zugriff auf den Rechner via Modem wird deaktiviert NoEntireNetwork DWORD 1 Gesamtes Netzwerk fehlt, nur noch Computer in der Arbeitsgruppe ersichtlich NoWorkgroupContents DWORD 1 Mitglieder der Netzwerk-Arbeitsgruppe werden nicht mehr in der Netzwerkumgebung angezeigt DisablePwdCaching DWORD 1 Kennwörter lassen sich nicht mehr in der PWL-Datei speichern Funktionen des Desktops ausblenden HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoSaveSettings DWORD 1 Der Desktop wird beim Verlassen nicht mehr gespeichert NoDesktop DWORD 1 Alle Desktop-Icons werden nicht mehr angezeigt NoPrinterTabs DWORD 1 Drucker-Ordner ist nicht vorhanden NoDeletePrinter DWORD 1 Drucker können nicht gelöscht werden NoAddPrinter DWORD 1 Es können keine neuen Drucker installiert werden NoInternetIcon DWORD 1 Kein Internet-Symbol auf dem Desktop NoNetHood DWORD 1 Keine Netzwerkumgebung auf dem Desktop NoFileSharingControl DWORD 1 Datei- und Druckerfreigabe des Netzes wird ausgeschaltet (Win98) NoNetworkConnections DWORD 1 Netzwerk- und DFÜ-Verbindungen werden aus dem Start-Menu ausgeblendet NoDesktopUpdate DWORD 1 Das Anlegen von neuen Verknüpfungen auf dem Desktop ist nicht mehr möglich HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoHTMLWallpaper DWORD 1 Es sind keine HTML-Hintergrundbilder mehr möglich NoChangingWallpaper DWORD 1 Die Hintergrundbilder können nicht mehr geändert werden NoMovingBands DWORD 1 Die Grösse der Symbolleisten kann nicht mehr geändert werden Funktionen der Systemsteuerung - System ausblenden HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoVirtMemPage DWORD 1 Die Schaltflöche "Virtueller Arbeitsspeicher" wird ausgeblendet NoFileSysPage DWORD 1 Schaltfläche "Dateisystem" wird deaktiviert NoConfigPage DWORD 1 Einstellung für die Hardwareprofile wird ausgeblendet NoDevMgrPage DWORD 1 Der Geräte-Manager wird ausgeblendet NoAdminPage DWORD 1 Die Remote Admin Seite wird deaktiviert NoProfilePage DWORD 1 Die Profil Seite wird deaktiviert NoPwdPage DWORD 1 Die Passwort-Seite wird deaktiviert Diverses HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer AlwaysUnloadDLL REG_SZ 1 Nichtbenötigte DLL-Files werden sofort aus dem Speicher gelöscht HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ClearRecentDocsOnExit DWORD 1 Dokumente, MRU-Liste und URL-History werden beim Beenden automatisch gelöscht HKEY_CURRENT_USER\Control Panel\Desktop MenuShowDelay REG_SZ 400 Zeitverzögerung in Millisekunden für das Oeffnen des Startmenus einstellen HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoWinKeys DWORD 1 WinTaste + (Buchstabe) deaktivieren HKEY_CURRENT_USER\Software\Policies\Windows\System DisbaleCMD DWORD 1 Kommandozeilenoberfläche (CMD) deaktivieren (WinNT/2000/XP)) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisbaleRegistryTools DWORD 1 Start des Registry-Editors unterbinden (GEFÄHRLICH!!!!) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetExplorer\Cache\Content Cachelimit REG_BINARY 0 Internet Explorer ohne Cache nutzen HKEY_LOCAL_MACHINE\Network\Logon MustBeValidated DWORD 1 Button "Abbrechen" bei der Win98-Anmeldung deaktivieren (nur mit NT-Domäne) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr DWORD 1 Der Task-Manager kann nicht mehr aufgerufen werden HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon DontDisplayLastUserName REG_SZ 1 Beim Anmelden wird der zuletzt angemeldete User nicht angezeigt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion (Win98) HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion(WinNT/2000) RegisteredOwner REG_SZ Name Registrierter Name kann geändert werden HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup (Win98) HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion (WinNT/2000) Sourcepath REG_SZ Pfad Source des Installations-Verzeichnisses anpassen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion ProgramFilesDir REG_SZ Pfad Standard-Installations-Pfad für Programme anpassen HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects Diesen Schlüssel löschen, falls die Taskleiste nicht mehr angezeigt wird Copyright by pc-tips.ch
Quelle: http://www.pc-tips.ch/registrytip.php
__________________
--> file://C:\WINDOWS\desktop.html wie geht das weg )

Geändert von Cidre (27.04.2005 um 18:42 Uhr)

Alt 20.04.2005, 23:47   #52
Haui45
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Ich glaub auch, dass Cidres Lösung die bessere ist.
Aber ich war auf dem richtigen Weg und wenn man die Einträge in den .reg-Datein anschaut, kann man durchaus Gemeinsamkeiten erkennen
Das nächste Mal mach ich mir nicht mehr die Arbeit das alles rauszufinden/-schreiben. Da such ich dann auch mal bei Google

Geändert von Haui45 (21.04.2005 um 00:27 Uhr)

Alt 21.04.2005, 02:34   #53
leandro
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



hallo,

also ich muss schon sagen >>> saubere arbeit jungs

ich hab jetzt "restore all display tabs" runtergeladen und ausgeführt...
und siehe da... alle meine register sind wieder da

leider musste ich nach kurzer zeit feststellen das ich mich mal wieder zu
früh gefreut habe...

ich habe eine gute und eine schlechte nachricht

nachdem ich ja jetzt alle register wieder habe... konnte ich unter
desktop > desktop anpassen > web
den eintrag "security" löschen

aber...

jetzt hatte ich zwar einen komplett schwarzen desktop...
ohne "You're in danger" blablabla...
kann aber jetzt leider überhaupt keinen hintergrund mehr auswählen ???

hahahahha das darf nicht wahr sein...

ich weiß nicht ob ich lachen oder weinen soll

wenn ich jetzt unter "eigenschaften von anzeige" auf den register "desktop" klicke... dann steht dort unter dem bildschirm "normalerweise" in dunklen buchstaben

Hintergrund:

und darunter ist ein fenster in dem sich die von windows vordefinierten hintergründe befinden...

jetzt ist aber bei mir dieser "hintergrund" in "grauen buchstaben" das heißt sozusagen "deaktiviert" und ich kann mir deswegen keinen hintergrund aus dem fenster darunter aussuchen !?!?!?
außerdem ist auch der "durchsuchen" -button in grauen buchstaben d.h. ich kann den auch nicht benützen !?!?!?!?

was geht denn da ab ??? wahnsinn... eins muss man dem bill schon lassen...
abwechslungsreich ist sein windows auf jeden fall *lach*
man erlebt jeden tag eine neue überraschung

aber mal spaß bei seite...

ich muss wahrscheinlich wieder irgendeinen registrierungs-schlüssel ändern damit das wieder funktioniert !?

ich google mal ein bißchen durch die gegend... wahrscheinlich hatte schon jemand das gleiche prob.!!!

Ach ja, bevor ichs vergesse...

seitdem ich diese trojaner hatte... ich habs im letzten post schon mal angesprochen... wird mein Antivirenprog. & meine firewall nicht mehr automatisch gestartet ??? d.h. ich hab schon versucht... in den voreinstellungen von meiner firewall das häckchen bei "beim Systemstart laden" zu setzen... aber das häckchen taucht kurz auf und verschwindet sofort wieder hahhahaha das gibts ja wohl nicht ???

bei meinem Antivirenprog. sind alle häckchen gesetzt d.h. bei

- enable auto-protect
- start auto-protect when windows starts up
- show the auto-protect icon in the tray

aber sobald ich das AV-prog. schließe verschwindet es komplett...
früher hatte ich es immer im "tray" da wußte ich das es läuft, aber jetzt verschwindet es ganz... sobald ich es schließe ???

also bei mir stimmts leider immer noch hinten und vorne nicht

kann nur hoffen das ich nicht der einzige bin der diesen krampf hat/hatte!

es ist mittlerweile 3.24 in der früh und ich hocke immer noch vor der kiste... das ist nun der 3 tag in folge... vielleicht sollte ich die kiste einfach ausm fenster schmeissen *grummel*

aber morgen ist ein neuer tag... kommt zeit kommt rat

also gute nacht allerseits...

mir reichts für heute!


lg

leandro

Alt 21.04.2005, 16:33   #54
leandro
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



hallo,

ich hab jetzt mal den Reg-key >>>

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper auf 0 geändert... aber das hat auch nichts gebracht !?!?!?!?

Wahrscheinlich wird >>> "format c:" das beste sein !!!

Ich hab wirklich keinen bock mehr, meine zeit zu vertrödeln

Auf jeden fall dank ich euch für eure hilfsbereitschaft und wünsche allen viel erfolg beim ausrotten der trojaner

bis dann

lg

leandro

Geändert von leandro (22.04.2005 um 04:20 Uhr)

Alt 22.04.2005, 10:02   #55
Sosurfer
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Also ich habe eben dieses Problem mit dem "Danger"-Desktop-Webelement auf einem Kundenrechner.
Die Möglichkeit dieses ("Security" unter Desktop-Web) zu löschen habe ich schon bevor ich mich auf die Suche hier im Forum begeben habe angewendet, jedoch kehrt das Problem nach einem Neustart wieder.
Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet.
Leider ohne Erfolg.
Spybot und Adaware bringen mich - wie hier bereits erwähnt - auch zu keiner Lösung.
Da es sich wie oben erwähnt um einen Kundenrechner handelt - welches nicht der erste und mit Sicherheit nicht der letzte ist - halte ich die -Methode "format c:" nicht für eine angebrachte Lösung.
Gut wäre eine zuverlässige - evtl auch vom Kunden selbst anwendbare !? - Methode diese "Sicherheitwarnung" ohne Neuaufsetzen des Systems in den Griff zu bekommen.
Im Voraus vielen Dank für die Bemühungen!

Alt 22.04.2005, 10:37   #56
chaosman
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



@Sosurfer
Daraufhin habe, ich wie hier beschrieben, die Systemwiederherstlng deakt. und im Abges. Modus gebootet. Mit Hijack-This den "..spoolsrv32.." Eintrag wie hier beschrieben gefixt und neu gebootet.

fixen alleine hilft nichts wenn man anschließend diese datei nicht löscht.
poste ein HJT logfile.
hast du Cidres Lösungsvorschläge durchgelesen?


chaosman
__________________
Bonus vir semper tiro

Alt 22.04.2005, 11:07   #57
Sosurfer
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



1. Habe so ziemlich alle Anleitung hier studiert.

2. Mein Vorgehen:
- Systemwiederherstellung deaktiviert
- Eintrag "Security" unter "Desktop anpassen" - "Web" gelöscht
- im abgesicherten Modus (als der Benutzer mit dem problem angemeldet) mit Hijack den "O4 - ... \spoolsrv32.exe" gefixt
- C:\Windows\Web\desktop.html gelöscht (in C:\Windows\ befand sie sich nicht!?)
- Neustart ---->>> "You're in Danger"-Web-Hintergrund erscheint wieder
(gleiche Vorgehensweise auch als Admin durchgeführt)

3. Das Log-File

------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:54:49, on 22.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\zqihcfh.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.herpa.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qsglj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = hxxp://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.22.1.14:8080
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7CB4AA09-84CD-36CD-9682-6258A2104F3D} - C:\WINDOWS\iphr.dll (file missing)
O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Device\cm20.exe
O4 - HKLM\..\Run: [tdpmx] c:\windows\system32\tdpmx.exe /nocomm
O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [winde] c:\windows\system32\winde.exe /nocomm
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [gmbpok] c:\windows\system32\gmbpok.exe
O4 - HKLM\..\Run: [HQTKHYIQ] c:\windows\system32\hqtkhyiq.exe /install
O4 - HKLM\..\Run: [qbgbyz] c:\windows\system32\zqihcfh.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [Awei] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ttor.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Ebates - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=hxxp://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&hxxp://www9.volvo.com/truck/3dtruckconfigurator2/all/fh16.asp
O16 - DPF: {067D7797-04FC-42B1-92DB-81FC6CD318FD} (Dlctrl) - hxxp://www.eingang69.de/EroticAccess/Ocx/dlctrl2.ocx
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - hxxp://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {4B6E3013-6E45-11D0-9309-0020AFE05CC8} (blaxxun CC3D) - hxxp://www.blaxxun.com/download/contact/cab/blaxxunCC3D.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - hxxp://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1034_EN_XP.cab
O16 - DPF: {5B82FA31-6AC7-15E7-6613-61BE5B32CC1B} - hxxp://69.50.182.94/1/rdgDE1342.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110125652203
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - hxxp://www.globalphon.com/dialer/internazionale_ver4.CAB
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} - hxxp://www.bcnx.com/SunInfoConnect_www.bcnx.com_medium.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - hxxp://www.eingang69.de/EroticAccess/exe/access_special.ocx
O18 - Filter: text/html - {554255B4-C494-4212-8B00-3388B8C2374A} - C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Network Security Service (__NS_Service_3) - Unknown owner - C:\WINDOWS\apimy.exe (file missing)
--------------------------------

Ja da liegt auch noch mehr im Argen, ich weiß. Hauptaugenmerk aber dieser spezielle Fall.

Alt 22.04.2005, 11:59   #58
Gigamail
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Hi Sosurfer

Zitat:
Ja da liegt auch noch mehr im Argen,...
das kannst Du laut sagen! Scanne mal mit escan

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases_x" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modusaus(Haken setzen bei All Local Drives und All Scan Files). Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen:

"öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
Wenn du dir das einzeln suchen ersparen willst:
Mittels Rechtsklick-> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten. Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)
__________________
Gruß Gigamail

eScan-Anleitung und Download



Geändert von Gigamail (22.04.2005 um 14:25 Uhr) Grund: Link geändert ;-)

Alt 22.04.2005, 18:00   #59
Haui45
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



@leandro
Versuch's mal noch mit diesem Pfad
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper
Wert auf 0 stellen.
Als ich es ausprobiert habe traten die von dir beschriebenen Symptome auf.

Alt 25.04.2005, 13:26   #60
Fishbone
 
file://C:\WINDOWS\desktop.html wie geht das weg ) - Standard

file://C:\WINDOWS\desktop.html wie geht das weg )



Das hatte ich auch.....mach unter systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web den Haken da raus und lösch des dann.

Greetz

Antwort

Themen zu file://C:\WINDOWS\desktop.html wie geht das weg )
angezeigt, anklickbar, arbeitsplatz, befindet, bild, datei, desktop, einfach, file, frage, gelöscht, handel, homepage, icons, klicke, klicken, kurze, links, meinem, netzwerkumgebung, neuste, nicht mehr, papierkorb, rechtsklick, seite, unter, verschwunden, vorhanden, windows




Ähnliche Themen: file://C:\WINDOWS\desktop.html wie geht das weg )


  1. Windows 7: Verschiedene Virenmeldungen: ADWARE/FDealPly.I - HTML/FCrypted.Gen - HTML/FExpKit.Gen3
    Log-Analyse und Auswertung - 26.04.2015 (11)
  2. Windows 7: resource://firefox.abs.avira.com/html/blocked.html
    Log-Analyse und Auswertung - 16.12.2014 (9)
  3. Avira Desktop lässt sich nicht aktivieren & Windows Updates geht nicht mehr: Schlüssel im angegebenen Status nicht gültig!
    Antiviren-, Firewall- und andere Schutzprogramme - 08.11.2014 (16)
  4. Windows 8 : abgesicherter Modus geht nicht, Desktop gesperrt
    Log-Analyse und Auswertung - 30.11.2013 (1)
  5. file:///C:/ProgramData/Avira/AntiVir%20Desktop/IPM/IpmDocument.html
    Log-Analyse und Auswertung - 09.10.2012 (14)
  6. Start Windows 7 white Screen dann leerer Desktop abgesichterer Modus geht normal
    Log-Analyse und Auswertung - 08.08.2012 (9)
  7. DESKTOP wird angezeigt und NICHTS geht mehr...was nun?
    Log-Analyse und Auswertung - 24.03.2012 (1)
  8. .html datein verstopfen desktop
    Log-Analyse und Auswertung - 19.02.2012 (21)
  9. Hijack Log file Post - HTML Virus vielleicht?
    Log-Analyse und Auswertung - 18.11.2010 (24)
  10. hijackthis log-file : Trojan.Exploit.Html.Iframe.Filedownload.FI
    Log-Analyse und Auswertung - 09.02.2008 (3)
  11. Mein Desktop ist eine HTML !?!?!?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2007 (1)
  12. log file mit Desktop-Problemen
    Log-Analyse und Auswertung - 13.09.2005 (1)
  13. Goabot oder Desktop.html
    Log-Analyse und Auswertung - 27.05.2005 (11)
  14. desktop.html Hijackthis
    Log-Analyse und Auswertung - 19.05.2005 (3)
  15. Fehler in winexplorer -->Desktop leer, nichts geht
    Plagegeister aller Art und deren Bekämpfung - 30.03.2005 (4)
  16. Problem: Hintergrund nurnoch grau, desktop.html
    Log-Analyse und Auswertung - 25.03.2005 (16)
  17. Desktop ist html-file
    Log-Analyse und Auswertung - 31.07.2004 (5)

Zum Thema file://C:\WINDOWS\desktop.html wie geht das weg ) - halloooo, ich habs endlich hinter mir... alle trojaner sind weck hier ist mein hijack-log: Logfile of HijackThis v1.99.1 Scan saved at 18:30:55, on 20.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) - file://C:\WINDOWS\desktop.html wie geht das weg )...
Archiv
Du betrachtest: file://C:\WINDOWS\desktop.html wie geht das weg ) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.