desktop hintergrund von selbst geändert

karemes · 08.03.2005

Ich brauche Hilfe!
das Desktop-Hintergrundbild hat sich auf einmal verändert - ist jetzt schwarz mit einem unseriösen Warnhinweis auf englisch: Warning - you're in danger darin steht, dass mein Computer für Spyware angreifbar und ausspionierbar ist und ich solle doch einem Link folgen, der mich auf eine SEite bringt, auf der die Anleitung für das Entfernen der angeblichen Spyware ist. Dabei ist das selbst, glaub ich, eine Spyware. Ich hab schon die aktuellste Version von AntiVir rüberlaufen lassen und auch AntiTrojan - die haben nichts erhebliches gefunden. Im Ordner Temp befinden sich laufend neue dateien mit dem Namen bspw. tmpA.tmp oder tmp10.tmp - ist das vielleicht der Verursacher? die sind teilweise auch nicht löschbar!

Das logfile von hijackthis sieht folgendermaßen aus - muss ich da irgendetwas löschen?:

Logfile of HijackThis v1.98.2
Scan saved at 14:48:07, on 08.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\tmpE.tmp
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate38905078[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D6CDFCD-A9A0-49DE-916D-820BA18DF8E4}: NameServer = 194.97.173.124 194.97.173.125

Dakota · 08.03.2005

Hijackthis ist veraltet, Version 1.99.1 ist aktuell!

Logfile auswerten bei www.hijackthis.de

System unbedingt patchen. Und alle Anwendungen ausser Hijackthis schliessen!
Am Besten im abgesicherten Modus bereinigen und schleunigst dein System updaten.

Alf33 · 15.03.2005

Hallo!

Habe ein ähnliches Problem wie das oben beschriebene.

Habe folgendes versucht und auch teilweise bösartige Programme gefunden und geklöscht:
ad aware, spy bot, cwshredder, microsoft antispyware beta1, hijackThis und Mc Afee virusscan prof - alles in den neuesten Versionen.

Ich habe nun keinerlei Fehlermeldungen mehr von den o.g. Programmen - auch online Diagnose von hijackThis ist sauber

ABER

der Desktop ist nun nicht mehr schwarz,
sondern wechselt zwischen grau und weiß!!!

Beim Start kommt zunächst ganz normal der eingestellte Hintergrund, der wird dann aber überlagert von dem falschen flackernden Hintergrund.
Ich kann auch beim Rechtsklick auf dem Desktop und Aufruf von Eigenschaften nicht in das normale Menue rein, sondern erhalte nur ne Eigenschaftsseite für ein http Protokoll. Unter dem Dateinamen windows/web/desktop.tttp kann ich nix finden...

Wer weiß Rat??

mickey2411 · 24.03.2005

Hallo an alle,
habe das gleiche Problem und möchte gerne mein Destophintergrundbild wieder haben. Wie geht das?Ist immer nur das schwrze Bild mit Warning Danger zu sehen und es geht nicht weg.Wer kann mir da helfen? Virus scan habe ich gemacht und ich hoffe erfolgreich entfernt.Also über Hilfe würde ich mich freuen....
mfg
Mickey2411

Alf33 · 24.03.2005

...habs inzwischen gelöst.

du mußt über Start/Einstellungen/Systemsteuerung auf Anzeige gehen,
dann reiter Dektop klicken und auf Desktop anpassen;
dann den reiter WEB und da sitzt der Bösewicht:
einfach das rauslöschen und oder Haken entfernen, was da nicht hingehört
und dann sollte alles gut sein ;-))

mickey2411 · 24.03.2005

Jau danke das hat schonmal gefunzt. Bin ich schonmal glücklich und wie kann ich denn noch die Windows Fehlermeldung abstellen die da immer noch kommt? Über Hilfe würde ich mioch freuen....
mfg
Mickey2411

PCDpan_fee · 25.03.2005

karemes schrieb:
Running processes:
C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\tmpE.tmp

würde ich mal fixen

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Trojaner
http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware2171

O4 - Startup: winupdate38905078[1].exe

hat bestimmt nichts mit Winupdate zu tun und im Autostart nichts verloren

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Alexa
http://www.wintotal.de/Tipps/Eintrag.php?TID=384

und wie Dakota schon schrieb, Hijackthis ist veraltet, System unbedingt patchen:
http://www.wintotal.de/softw/?id=2022
http://www.wintotal.de/softw/?id=2362

pan_fee

anthrax · 27.03.2005

Abend und frohe Ostern!!

Bei mir ist es genau das selbe. Als Hintergrundbild habe ich eine Warnung und der Rechtsklick auf dem Desktop funktioniert nicht mehr. Ich habe schon mehrere Antivirenprogs. durchlaufen lasse , die aber nur Kleinigkeiten finden. Auf Systemsteuerung/anzeige und web den eintrag löschen geht nicht. Ich kann zwar den Haken wegmachen,bringt aber nichts .

Hier meine Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 21:01:23, on 27.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
C:\antivir xp\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Norton\navapsvc.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Clone Drive\VirtualCloneDrive\VCDDaemon.exe
D:\WINDOWS\System32\RunDll32.exe
C:\Drucker\HP Software Update\HPWuSchd.exe
D:\Programme\HP\hpcoretech\hpcmpmgr.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\System32\paytime.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\BITEDE~1\bdmcon.exe
C:\Bitedefender\bdoesrv.exe
C:\Bitedefender\bdswitch.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\paytime.exe
C:\Eraser\eraser.exe
C:\Drucker\Digital Imaging\bin\hpqtra08.exe
D:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Palm GPS Ique3600\HOTSYNC.EXE
C:\Bitedefender\vsserv.exe
C:\Norton\SAVScan.exe
D:\WINDOWS\System32\HPZipm12.exe
C:\Programme\CxtPls\CxtPls.exe
C:\MOzilla\mozilla\mozilla.exe
D:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton\NavShExt.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] C:\Clone Drive\VirtualCloneDrive\VCDDaemon.exe /s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Drucker\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HP Component Manager] D:\Programme\HP\hpcoretech\hpcmpmgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] C:\BITEDE~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Bitedefender\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Bitedefender\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Bitedefender\\bdswitch.exe
O4 - HKLM\..\Run: [Disk Keeper] D:\DOKUME~1\Alle\LOKALE~1\Temp\keep.exe
O4 - HKLM\..\Run: [Service Host] D:\WINDOWS\System32\Services\{DA535782-9AB3-41A0-B87B-A7543AC8861F}\SVCHOST.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Eraser\eraser.exe -hide
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Icq\ICQLite\ICQLite.exe -trayboot
O4 - Startup: HotSync Manager.lnk = C:\Palm GPS Ique3600\HOTSYNC.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Drucker\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = D:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Icq\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O10 - Unknown file in Winsock LSP: c:\spyremover\bps spyware & adware remover\apptoport.dll
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104311925609
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O20 - Winlogon Notify: drct16 - D:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\antivir xp\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Norton\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Norton\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\Symantec Shared\Script Blocking\SBServ.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Bitedefender\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

das Paytime.exe kann ich nicht fixen.

Bitte helft mir
Anthrax

PCDpan_fee · 28.03.2005

anthrax schrieb:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

SP2 gibs hier:
http://www.wintotal.de/Software/index.php?id=2362

Running processes:
D:\WINDOWS\System32\paytime.exe

Trojaner:
http://www.wintotal.de/Spyware/index.php?Filter=P#Spyware2310
Process beenden und mal im abgesicherten Modus (F8) versuchen

C:\Program Files\AutoUpdate\AutoUpdate.exe

Apropos Media oder PeopleonPage Adware:
http://www.wintotal.de/Spyware/index.php?Filter=A#Spyware2311

D:\WINDOWS\System32\paytime.exe

Trojaner (siehe oben)

C:\Programme\CxtPls\CxtPls.exe

Apropos Media Spyware:
http://www.wintotal.de/Spyware/index.php?Filter=C#Spyware2315

O4 - HKLM\..\Run: [Service Host] D:\WINDOWS\System32\Services\{DA535782-9AB3-41A0-B87B-A7543AC8861F}\SVCHOST.EXE

W32/Cone-F:
http://www.sophos.de/virusinfo/analyses/w32conef.html
http://vil.nai.com/vil/content/v_101139.htm

O20 - Winlogon Notify: drct16 - D:\WINDOWS\SYSTEM32\drct16.dll

Backdoor.Haxdoor.D:
http://www.wintotal.de/Spyware/index.php?Filter=D#Spyware2318

siehe auch deine Log-Auswertung:
http://www.hijackthis.de/logfiles/d93acd1b1516b75bb352d50ce39f4b16.html

pan_fee

anthrax · 29.03.2005

Ich hab jetzt fast alles gefixed oder gelöscht, aber ich kann mein Hintergrundbild immer noch nicht ändern und der Rechtsklick geht auch noch nicht.

Logfile of HijackThis v1.99.1
Scan saved at 12:20:11, on 29.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
C:\antivir xp\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Norton\navapsvc.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Clone Drive\VirtualCloneDrive\VCDDaemon.exe
D:\WINDOWS\System32\RunDll32.exe
C:\Drucker\HP Software Update\HPWuSchd.exe
D:\Programme\HP\hpcoretech\hpcmpmgr.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\BITEDE~1\bdmcon.exe
C:\Bitedefender\bdoesrv.exe
C:\Bitedefender\bdswitch.exe
D:\WINDOWS\System32\mszx23.exe
D:\WINDOWS\System32\ctfmon.exe
C:\Eraser\eraser.exe
C:\Drucker\Digital Imaging\bin\hpqtra08.exe
D:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Palm GPS Ique3600\HOTSYNC.EXE
C:\Bitedefender\vsserv.exe
C:\Norton\SAVScan.exe
D:\WINDOWS\System32\HPZipm12.exe
D:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton\NavShExt.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] C:\Clone Drive\VirtualCloneDrive\VCDDaemon.exe /s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Drucker\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HP Component Manager] D:\Programme\HP\hpcoretech\hpcmpmgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] C:\BITEDE~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Bitedefender\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Bitedefender\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Bitedefender\\bdswitch.exe
O4 - HKLM\..\Run: [Disk Keeper] D:\DOKUME~1\Alle\LOKALE~1\Temp\keep.exe
O4 - HKLM\..\Run: [Service Host] D:\WINDOWS\System32\Services\{DA535782-9AB3-41A0-B87B-A7543AC8861F}\SVCHOST.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Eraser\eraser.exe -hide
O4 - Startup: HotSync Manager.lnk = C:\Palm GPS Ique3600\HOTSYNC.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Drucker\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = D:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Icq\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O10 - Unknown file in Winsock LSP: c:\spyremover\bps spyware & adware remover\apptoport.dll
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1104311925609
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O20 - Winlogon Notify: drct16 - D:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - D:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\antivir xp\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Norton\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Norton\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\Symantec Shared\Script Blocking\SBServ.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Bitedefender\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Danke
anthrax

schmidt · 29.03.2005

tja, auch ich habe dieses problem, mein deskop ist rot, habe einen link zu smartsecruity (für die version müsste ich aber 60dollar zahlen). mein problem ist, habe von dem ganzen kram keine ahnung. habe ihre einen lösungsversuch für computer-idioten wie mich?

Freudi · 29.03.2005

anthrax schrieb:
Ich hab jetzt fast alles gefixed oder gelöscht, aber ich kann mein Hintergrundbild immer noch nicht ändern und der Rechtsklick geht auch noch nicht.

Fast alles ist halt nicht alles. Schau Dir die automatische Auswertung nochmal genau an: http://hijackthis.de/logfiles/38c091eacc247eadee629ab0eb0171f3.html. Dann versuchst Du die Einträge im Abgesicherten Modus von Windows zu beseitigen. Danach ist die Installation des SP2 und abschließend der Besuch der Windows Update-Seite angezeigt.

Dass Du zwei Virenscanner parallel installiert hast und laufen lässt, kann nicht sein? Laut Log-File wuselt da etwas von Symandreck und auch noch ein Bitdefender-Virenscanner ???

Bye,
Freudi

PCDpan_fee · 29.03.2005

anthrax schrieb:
Running processes:
D:\WINDOWS\System32\mszx23.exe

Backdoor.Haxdoor
http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware2337

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = /213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 213.159.117.134/index.php

Troj/StartPa-DE (Cool Web Search)
http://www.sophos.de/virusinfo/analyses/trojstartpade.html
(Erweitert)

O4 - HKLM\..\Run: [Service Host] D:\WINDOWS\System32\Services\{DA535782-9AB3-41A0-B87B-A7543AC8861F}\SVCHOST.EXE

W32.Cone.F
http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware2343

O20 - Winlogon Notify: drct16 - D:\WINDOWS\SYSTEM32\drct16.dll

Backdoor.Haxdoor
http://www.wintotal.de/Spyware/index.php?Filter=D#Spyware2318

hier nochmal deine Auswertung:
http://www.hijackthis.de/logfiles/de2a777066551767041742e689785e32.html
denn in Antwort 11 stimmt die automatische Auswertung nicht überein.

pan_fee

anthrax · 29.03.2005

Ich hab jetzt versucht im abgesicherten modus die

drct16.dll und des svhost dingens zu löschen. Es lässt sich aber nicht löschen. Ich habs schon mit nem eraser versucht und im abgesicherten modus, aber des hat alles nichts geholfen.

Ich bekomm die D:\Windows\system32\mszx23.exe
D:\Windows\system32\alg.exe
D:\Windows\system32\drct16.dll
D:\Dokumente und Einstellungen\lokale\temp\keep.exe

und den Ordner D:\Windows\pchealth

nicht weg.

Habt ihr nene Lösungsvorschleg??

mfG
Anthrax

Freudi · 30.03.2005

anthrax schrieb:
Ich hab jetzt versucht im abgesicherten modus die

drct16.dll und des svhost dingens zu löschen.

Zuvor im Taksmanager geschaut, was davon läuft und ggf. den zugrhörigen Prozess vor dem Fixversuch beendet?

und den Ordner D:\Windows\pchealth

Was willst du denn damit?

Bye,
Freudi

Neophyte · 31.03.2005

anthrax schrieb:
Ich hab jetzt versucht im abgesicherten modus die

drct16.dll und des svhost dingens zu löschen. Es lässt sich aber nicht löschen. Ich habs schon mit nem eraser versucht und im abgesicherten modus, aber des hat alles nichts geholfen.

Ich bekomm die D:\Windows\system32\mszx23.exe
D:\Windows\system32\alg.exe
D:\Windows\system32\drct16.dll
D:\Dokumente und Einstellungen\lokale\temp\keep.exe

Abgesicherter Modus starten --> Taskmanager öffnen --> Task beenden von den oben angegebenen Datein --> dateien per hand löschen (bei Bitdefinder --> Dateien in die Quarantäne von Bitdefinder verschieben)

anthrax schrieb:
und den Ordner D:\Windows\pchealth

ist ein Systemordner von Windows, diesen nicht löschen

anthrax · 31.03.2005

Es läuft kein Prozess mit den Dateien ,ich kann sie aber trotzdem nicht löschen.

berliner-loewe · 31.03.2005

Versuch mal die dll's erst zu deregistrieren

http://www.hbsoft.de/net/tipps/register.aspx

Freudi · 31.03.2005

anthrax schrieb:
Es läuft kein Prozess mit den Dateien ,ich kann sie aber trotzdem nicht löschen.

Wortlaut der Fehlermeldung? Hast Du es wirklich im Abgesicherten Modus versucht? Falls ja, versuch's mal eben noch mit Start -> Ausführen -> msconfig -> Systemstart und dort dem Deaktivieren der Keep.exe. Danach widerum in den Absgesicherten Modus starten.

Bye,
Freudi

anthrax · 31.03.2005

Danke für die schnellen antworten,aber des mit den dll´s deregistrierren geht nicht und die msconfig findet er nicht mehr.

desktop hintergrund von selbst geändert

karemes

Dakota

Alf33

mickey2411

Alf33

mickey2411

PCDpan_fee

anthrax

PCDpan_fee

anthrax

schmidt

Freudi

PCDpan_fee

anthrax

Freudi

Neophyte

anthrax

berliner-loewe

Freudi

anthrax

desktop hintergrund von selbst geändert

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums