Desktop "gekapert" - wie kann man so etwas entfernen?

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von guemue, 24. Oktober 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. guemue

    guemue Kbyte

    Registriert seit:
    22. Juli 2001
    Beiträge:
    367
    Hallo,

    auf meinem Desktop hat sich Werbung eingenistet ("ihre Festplatte kann nie 100% gelöscht werden...welche webseiten sie sich anschauen kann rekonstruiert werden...sichern sie sich ab...blabla")

    dort ist auch ein link vorhanden:
    http://213.159.117.130/?affid=NAT-3
    (Achtung nicht dass ihr auch befallen werdet!)

    so wenn ich rectsklick und eigenschaften mache sind diese infos vorhanden:
    HTML dokument , nicht verschlüsselt
    Adresse (URL):file://E:\WINDOWS\Web\desktop.html
    erstellt am 23.10.04

    Wie bekommt man so etwas weg?
    habe schon Adaware und HiJackThis ausprobiert. wenn ich escan ausprobiere findet er noch den virus isro.exe welcher aber nicht löschbar ist da ich die datei nicht finde und für escan kein geld ausgeben will. norton antivirus findet den virus erst gar nicht.

    Wie bekomme ich das ding weg?

    Grüße
    guemue
     
  2. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Mache eine Analyse mit HijackThis und untersuche die Ergebnisse, wie das auch auf dieser Seite

    www.hijackthis.de

    beschrieben wird. Du kannst das Log-File auch hier posten und unseren Experten zur Analyse vorlegen.
     
  3. guemue

    guemue Kbyte

    Registriert seit:
    22. Juli 2001
    Beiträge:
    367
    Hallo,

    hier die auswertung:

    Logfile of HijackThis v1.97.7
    Scan saved at 17:51:37, on 24.10.2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\Explorer.EXE
    D:\Downloads\Install-Dats\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



    Unter hijackthis.de kann er nichts finden.
    Es gab einen Eintrag namens isro.exe der gefixt wurde aber dennoch bleibt der desktop hintergrund auch wenn ich versuche das bild zu ändern.

    Grüße
    guemue
     
  4. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    @ guemue

    Deine HijackThis-Version (1.97.7) ist veraltet. Aktuell ist Version 1.98.2.

    In welchem Verzeichnis findet Escan den Virus "isro.exe"?

    Gruß
    Nevok
     
  5. guemue

    guemue Kbyte

    Registriert seit:
    22. Juli 2001
    Beiträge:
    367
    Hallo,

    hier das neue Logfile:
    Logfile of HijackThis v1.98.2
    Scan saved at 22:58:47, on 24.10.2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    E:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
    E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    E:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
    E:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
    E:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
    E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\dllhost.exe
    E:\WINDOWS\Explorer.EXE
    E:\WINDOWS\system32\wuauclt.exe
    E:\Programme\Logitech\iTouch\iTouch.exe
    E:\Programme\Logitech\MouseWare\system\em_exec.exe
    E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    E:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
    E:\WINDOWS\system32\devldr32.exe
    E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    E:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    E:\Programme\Messenger\msmsgs.exe
    E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    E:\Programme\Microsoft Office\Office10\msoffice.exe
    E:\WINDOWS\system32\wuauclt.exe
    E:\Programme\T-DSL SpeedManager\tsmsvc.exe
    \?\E:\WINDOWS\system32\WBEM\WMIADAP.EXE
    D:\Downloads\Install-Dats\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe




    isro.exe konnte ich inzwischen löschen.
    Auch habe ich einzelne Bilder in diesem verzeichnis gelöscht: file://E:\WINDOWS\Web
    Jetzt ist zwar die Werbung weg aber als "Überbleibsel" habe ich einen weißen desktophintergrund der immer von grau in weiss wechselt. Habe schon versucht einfach das desktopbild zu ändern nur das problem ist dass das "richtige" desktopbild existiert aber durch diesen grau/weissen bildschirm verdeckt wird :heul:

    Grüße
    guemue
     
  6. wooxme

    wooxme Byte

    Registriert seit:
    28. August 2004
    Beiträge:
    87
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen