Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Login Probleme, Active Desktop und IE (https://www.trojaner-board.de/12137-login-probleme-active-desktop-ie.html)

Quorrl 14.01.2005 15:22
Login Probleme, Active Desktop und IE
 
Hi,

also mein Problem ist leider umfassend.
Wenn ich boote (automatisches einloggen eingestellt) loggt er sich ein, dann bleibt allerdings der Monitor schwarz und nur die Sanduhr ist zu sehen.
Ausloggen mittels TaskManager funktioniert.
Erneutes einloggen klappt auch, also dann laedt er das Profil komplett.

Nach dem Booten ist der Active Desktop aktiviert und ich habe nen komplettes Hintergrundbild mit Text "Warning, you're in Danger,... etc".
Wenn ich den Active Desktop deaktiviere geht's weg, ist nach dem naechsten Booten allerdings wieder da.
Nun kommt in unregelmaessigen Abstaenden ein IE Fenster, mit blauem Hintergrund, in dem ich auch vor Spyware gewarnt werde.

Ich habe mal das Logfile von HijackThis angehaengt.
Ich habe den Rechner ausserdem mit Antivir und Pestpatrol gecheckt, ausserdem mit AdAware.

Bin fuer jede Hilfe dankbar.


Logfile of HijackThis v1.99.0
Scan saved at 15:17:51, on 14.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Multimedia\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
D:\Internet\MozillaFirefox\firefox.exe
D:\Internet\putty.exe
D:\Internet\Mozilla Thunderbird\thunderbird.exe
D:\_-NEW-_\hijackthis199\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] D:\Multimedia\Winamp\winampa.exe
O4 - HKLM\..\RunOnce: [Svr32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [Svr32 spool service] C:\WINNT\System32\spoolsrv32.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80606E56-2178-4A3E-8C51-982DC259C6C6}: NameServer = 134.155.50.51,80.69.32.2
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

HerrKautz 14.01.2005 15:34
Hallo,

du hast ein größeres Problem und zwar das hier :

http://www.rz.uni-karlsruhe.de/rz/se.../GaobotAG.html

und noch einiges andere,daher bleibt dir leider nur übrig zu formatieren,lies dazu folgenden Link genau und beachte die Tipps!

http://www.trojaner-board.de/showpos...28&postcount=2

Gruss

Haui45 14.01.2005 15:35
Überprüfe bitte mal folgende Datei online bei: virusscan.jotti.dhs.org
C:\WINNT\System32\spoolsrv32.exe

Quorrl 15.01.2005 10:38
Also der Online Scan bringt folgendes:
Kaspersky Anti-Virus Trojan.Win32.Small.cr

gibt es wirklich keine Moeglichkeit das sicher zu entfernen, also
ist eine Neuinstallation der einzige Weg?

chaosman 15.01.2005 11:38
@Quorrl
auch hier ein paar infos
hier

gibt es wirklich keine Moeglichkeit das sicher zu entfernen, also
ist eine Neuinstallation der einzige Weg?

du kannst zwar versuchen das teil mit ein removaltool zu beseitigen, jedoch ob du dein system vertrauen kannst ist eine andere geschichte.
dein system ist kompromittiert, lese bitte hier
mal nach.
das beste ist dein system neu aufzusetzen.
ein kompromittiertes system kann und darf man nicht mehr trauen.
lese doch mal den link den HerrKautz dir gepostet hat.
sry
chaosman

Quorrl 15.01.2005 11:40
hm ok, dann neuinstallation.
danke euch fuer die hilfe.

jarek 13.02.2005 14:34
Antwort :Von Jarek an Quorrl vom 14.01.2005
Ich habe die gleiche Erfahrung vor Monaten gemacht (Nach dem Booten ist der Aktive Desktop aktiviert und ich habe einen komplettes Hintergrundbild mit Text "Warning, you're in Danger,... etc".) bin kein Profi, aber ich habe es mit
einfachen Mitteln ohne Neuinstallation (was ich für überflüssig halte) geschafft. Ursachen für die Warnung, blaues Hintergrund, Versuch weiter zu leiten zu "www.topantispyware.com" sind 4 kleine Dateien die man finden und beseitigen muss.(spoolsrv32.exe,srpcsrv32.dll,txfdb32.dll,desktop.htm)
Anleitung:
1.) Unter Arbetsplatz/Eigenschaften/Systemeigenschaften/Systemwiederherstellung auf allen Laufwerken deaktivieren!
2.) Unter
Explorer/Extras/Ordneroptionen/Ansicht alle geschützte Dateien und Ordner anzeigen
3.) Im abgesichertem Modus starten.
4.) Unter
Explorer nach (spoolsrv32.exe, srpcsrv32.dll, txfdb32.dll, desktop.htm) suchen
und unter Eigenschaften der Dateien Erstellt: Geändert am: die Uhrzeit vergleichen "sehr wichtig!!!", muss bis auf paar Sekunden stimmen.
5.) Alle (spoolsrv32.exe, srpcsrv32.dll, txfdb32.dll, desktop.htm) löschen, alle IE Temporäre Dateien löschen.
6.) Neu starten und unter Punkt 1.) Laufwerke aktivieren.

Viel spaß

chaosman 13.02.2005 16:32
@jarek
dein rat ist sehr gefährlich, da er den hier auch im system hat

http://www.sophos.de/virusinfo/analy...ojsmallby.html
Nebeneffekte

* Ermöglicht Dritten den Zugriff auf den Computer
http://www.rz.uni-karlsruhe.de/rz/se.../GaobotAG.html
hier hilft nur format C
chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:11 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129