|
Kann Desktop nicht mehr ändern Hi. Habe seit heute das Problem, dass auf meinem Desktop so ein ***** Hintergrundbild ist, von wegen "Your Computer is infected" Das geht einfach nicht weg... Habe die restlichen Dateien, die von irgend so nem Virus/Trojaner oder so waren gelöscht (glaube ich). Aber das mit dem Desktop ist halt noch da. Wäre nett, wenn mit jmd helfen könnte Logfile of HijackThis v1.99.1 Scan saved at 13:24:37, on 13.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\devldr32.exe d:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\LckFldService.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE D:\Programme\Creative\SBLive\Program\CTAvTray.EXE D:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\AOL 8.0\waol.exe D:\Programme\AOL 8.0\shellmon.exe D:\Programme\Crazy Browser\Crazy Browser.exe C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AHQInit] d:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] d:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [CTAvTray] D:\Programme\Creative\SBLive\Program\CTAvTray.EXE O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\RunOnce: [CTAVTray] d:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: ctsurmix.lnk = D:\Programme\Creative\SBLive\SurroundMixer\ctsurmix.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-30.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121702563308 O17 - HKLM\System\CCS\Services\Tcpip\..\{28990EC1-3FB8-4577-A9F0-7483DAF2CA43}: NameServer = 205.188.146.145 O17 - HKLM\System\CS1\Services\Tcpip\..\{28990EC1-3FB8-4577-A9F0-7483DAF2CA43}: NameServer = 205.188.146.145 O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing) O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
jetzt ist auch noch dazu gekommen, dass der immer versucht auf das internet zuzugreifen.... das fuckt total hoffentlich kann mir einer helfen |
Hallo WACMemphis, der ist/war u.a. in Deinem System aktiv: http://www.sophos.de/virusinfo/analy...haxdoorag.html Grund ist Dein nicht aktuelles Betriebssystem! SP 2 und alle weiteren Sicherheitspatches müssen installiert sein! Bei Trojanern mit Backdoorfunktionalität wird Dir hier dringend eine Neuinstallation empfohlen, um wieder ein vertrauenswürdiges System herzustellen. http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Botnet http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html Empfohlene Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung : http://www.trojaner-board.de/showpos...8&postcount=11 dartus |
gibt es denn keine möglichkeit das alles wieder hinzubiegen und windows nicht neu zu installieren, da das ja schon ein ziemlich großer aufwand ist und ich das letztens erst 2mal machen musste. die datensicherung ist immer das problem... |
Nein, es gibt keine andere Möglichkeit. Warum das so ist, steht in der Anleitung! Gruß :daumenhoc Yopie |
aber hier ging es doch auch: HIER der hat das selbe problem wie ich... verstehe das irgendwie nicht so recht |
Von Troj/Haxdoor kann ich in dem anderen Thread nichts entdecken... Gruß :daumenhoc Yopie |
ja, gut. aber er hat ja dasselbe problem. kann man das dann nicht auch auf die selbe art beheben?? |
Er hat keinen Backdoor, du hast einen Backdoor. Also hat er nicht das gleiche Problem. Also kann man es auch nicht auf die gleiche Art beheben. Aber das hast du sicherlich mittlerweile schon selbst gesehen, denn es steht ja auch in der Anleitung zum Neuaufsetzen und in den Suchergebnissen, wenn du nach "Haxdoor" suchst.... Gruß :daumenhoc Yopie |
gut, ich formatiere, aber reicht es, wenn ich c:\ formatiere, oder müssen alle dran glauben? |
ok, habe jetzt formatiert. das problem mit dem hintergrund ist allerdings immernoch da. hier das log file: Logfile of HijackThis v1.99.1 Scan saved at 11:49:14, on 14.09.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\Logitech\iTouch\iTouch.exe D:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE D:\Programme\Creative\SBLive\Program\CTAvTray.EXE D:\Programme\CounterSpy Client\sunasDTServ.exe D:\Programme\CounterSpy Client\sunasServ.exe D:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\LckFldService.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe D:\Programme\AOL 8.0\waol.exe D:\Programme\AOL 8.0\shellmon.exe C:\WINDOWS\System32\wpabaln.exe D:\Programme\Crazy Browser\Crazy Browser.exe C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AHQInit] d:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] d:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [CTAvTray] D:\Programme\Creative\SBLive\Program\CTAvTray.EXE O4 - HKLM\..\Run: [sunasDTServ] D:\Programme\CounterSpy Client\sunasDTServ.exe O4 - HKLM\..\Run: [sunasServ] D:\Programme\CounterSpy Client\sunasServ.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "d:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\RunOnce: [CTAVTray] d:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: ctsurmix.lnk = D:\Programme\Creative\SBLive\SurroundMixer\ctsurmix.exe O4 - Startup: Verknüpfung mit ctsurmix.lnk = D:\Programme\Creative\SBLive\SurroundMixer\ctsurmix.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O17 - HKLM\System\CCS\Services\Tcpip\..\{874DD5D2-098A-4315-B7F1-C18976F85E68}: NameServer = 205.188.146.145 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
und das kam bei eScan raus Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\hijackthis.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" refers to invalid object "C:\Programme\ATI Technologies\ATI Control Panel\setup.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{2B7E6AA9-C4FA-4951-815B-4AFE39D81453}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" refers to invalid object "\FileWiper.dll". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{EC74DCAC-C755-4A7A-AC01-80F43059C1B0}" refers to invalid object "\FileWiper.dll". Action Taken: No Action Taken. Entry "HKCR\.669" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.AAC" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.amf" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.cda" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.far" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.it" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.itz" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.KAR" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.M4A" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.mdz" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.mid" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.midi" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.MIZ" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.mod" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.MP1" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.mp2" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.mp3" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.MP4" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.mtm" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.NSA" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.nst" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.OGG" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.okt" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.ptm" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.rmi" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.s3m" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.s3z" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.snd" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.stm" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.stz" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.ult" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.VOC" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.wma" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.xm" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\.xmz" refers to invalid object "Winamp.File". Action Taken: No Action Taken. Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken. Entry "HKCR\msbackupfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\ntbackup.exe". Action Taken: No Action Taken. Datei C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\downloads\hl1110.exe markiert als not-a-virus:Server-Proxy.Win32.Hltv. Keine Aktion vorgenommen. |
Zitat:
Zitat:
Machs nochmal und halte dich an die Anleitung! Sie wurde nicht ohne Grund geschrieben! CrazyBrowser gehört übrigens nicht zu den in der Anleitung empfohlenen Browsern! Das hat einen Grund. Er basiert auf dem IE. Gruß :daumenhoc Yopie |
und nochmal Logfile of HijackThis v1.99.1 Scan saved at 17:11:17, on 14.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\system32\wpabaln.exe D:\Programme\AOL 9.0\waol.exe D:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe d:\Programme\AVPersonal\AVWUPSRV.EXE d:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\wscntfy.exe D:\PROGRA~1\Firefox\firefox.exe C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cf.icq.com/cf/icqlite/public_private_modes.html R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "d:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0\aoltray.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DE595F6E-2A24-469C-ADCE-11F1AD66577F}: NameServer = 205.188.146.145 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
übrigens: dickes dankeschön bisher |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board