Trojaner-Board - desktop befallen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - desktop befallen (https://www.trojaner-board.de/14706-desktop-befallen.html)

desktop befallen

hi,

ich hab beimsurfen, die meldung bekommen, dass ich den Trojaner/small hääte und hab diesen dann gelöscht....nun hab ich aber einen anderen Hintergrund, mit der Meldung, dass mein pc befallen wär...bei rechtsklich, wird mir dann dieser pfad als hintergrund angezeigt:

file://C:\WINDOWS\Web\desktop.html

Ich hab dann von nem kumpel den "web"ordner bekommen und mein pc neugestartet, dann war der hintergrund (der trojaner) wieder da :-(

kann mir jemand helfen ?

EDIT: Und unter prozesse läuft noch ein "wowexec.exe", der etwas eingerückt ist

Hi,

scanne DeinSystem mal mit eScan nach Beschreibung (siehe unten)

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

leider geht der downloadlink nicht...und ich find auch keinen :-(

@ Fishbone

Zitat:

leider geht der downloadlink nicht...und ich find auch keinen

Was heisst das jetzt?
Funktioniert der Link bei dir nicht oder hast du rechts oben die Download Mirror übersehen?

Poste mal den Inhalt der hosts Datei (vorrausgesetzt -> Win XP):
Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts -> OK

Ebenso dies ausführen:
Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Code:

  Copyright (c) 1993-1999 Microsoft Corp.

#

# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP

# für Windows 2000 verwendet wird.

#

# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.

# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-

# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen

# Hostnamen stehen.

# Die IP-Adresse und der Hostname müssen durch mindestens ein

# Leerzeichen getrennt sein.

#

# Zusätzliche Kommentare (so wie in dieser Datei) können in

# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,

# aber müssen mit dem Zeichen '#' eingegeben werden.

#

# Zum Beispiel:

#

#      102.54.94.97     rhino.acme.com          # Quellserver

#       38.25.63.10     x.acme.com              # x-Clienthost
 

127.0.0.1       localhost

steht dann da...die anderen sachen poste ich dann noch.

Code:

eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:

http://www.mwti.net/antivirus/free_utilities.asp Die herunterzuladene Datei mwav.exe ist ca. 4,5 MB groß.

ich hab auf den link gedrückt, dannn kommt aber nix :-(

Code:

Logfile of HijackThis v1.99.1

Scan saved at 18:24:38, on 01.03.2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\AVPersonal\AVGUARD.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\devldr32.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe

C:\Programme\Winamp\Winamp.exe

C:\Programme\AVPersonal\AVWIN.EXE

C:\Dokumente und Einstellungen\F1$hb0n3\Eigene Dateien\hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kwick.de/

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Zitat:

leider geht der downloadlink nicht...und ich find auch keinen :-(

Versuchs mal bei den Russen

Zitat:

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Zumindest war dieser schon aktiv, eventuell ist er es immer noch.

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Warum wurde dein System nicht ausreichend mit Updates und Patches versorgt?

habs erst neu draufgemacht...und es gibt noch ein paar andere gründe

ich hab in der zwischenzeit Spybot S&D draufgemacht, der meinte, dass spoolsv32.exe irgendwas in meine regisrty schreiben wollte. Da hab ich dann auf verweigern gedrückt..aber mein hintergrund ist immernoch nicht richtig

@Fishbone

was ist jetzt mit dem eScan :nixda:
Hast Du den Russenlink probiert?

Es ist zwar äusserst sinnlos ein nicht gepatchtes System zu bereinigen, aber versuche dein Glück trotzdem.

- Führe einen Fullscan im abgesicherten Modus mit aktualisiertem AntiVir aus.
- Führe dies aus -> http://www.trojaner-board.de/showpos...59&postcount=7

Danach dies lesen ->
http://www.trojaner-board.de/showthread.php?t=13150
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

das 1ste hab ich schon gemacht...da war unter "web" so ein ding namen "security", dass hab ich dann gelöscht. nun hab ich wenigstens nen hintergrund wieda

Zitat:

Zitat von Fishbone

habs erst neu draufgemacht...und es gibt noch ein paar andere gründe

Welche?
:heilig:
Wo ein Wille ist, ist bekanntlich auch ein Gebüsch.
Wenn du SP2 haben möchtest, bekommen wir das auch drauf!
LG, Charlie

@ Fishbone

würde mich freuen wenn Du mal meine Frage beantwortest :dummguck:

Zitat:

Zitat von charlie1

Welche?
:heilig:
Wo ein Wille ist, ist bekanntlich auch ein Gebüsch.
Wenn du SP2 haben möchtest, bekommen wir das auch drauf!
LG, Charlie

*lol*, die gründe sind nicht legal^^

@giga:

Hab den scanner gestartet, hat sich dann aber aufgehängt.