Desktop-Problem nach Trojaner-Befall !

Dieses Thema im Forum "Sicherheit" wurde erstellt von ralhoh, 11. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ralhoh

    ralhoh Byte

    Registriert seit:
    9. Oktober 2002
    Beiträge:
    23
    Hallo!

    Ich habe gestern einen riesen Fehler gemacht. Habe über ICQ von einem mir unbekannten Teilnehmer eine sogenannte Postcard bekommen. Diese hab ich dann dummerweise geöffnet.

    Sofort sprach mein Antivirenprogramm an. Hatte dann mehrere Trojaner und Scherzprogramme drauf. Hab dann mit meinem Antivir, mit Spybot S+D, mit HijackThis, mit Ad-Aware SE und mit CWShredder alles so weit wieder entfernt bekommen (hoffe ich jedenfalls).

    Das einzigste, was jetzt Probleme macht, ist der Desktop. Statt meinen üblichen Hintergrund bei Windows XP (Grüne Idylle) hab ich plötzlich nur einen dunkelblauen Hintergrund mit einem ca. 8 x 5 cm großen Fenster mit der englischen Schrift in Rot "Spyware Infection" und noch Text drunter. In dem Text wird mir mitgeteilt, daß mein PC spywareverseucht ist und ich doch bitte ein Antispywaretool einsetzen soll. Dieses Fenster ist beständig im Hintergrund geöffnet.

    Habe schon alles mögliche versucht, um den Hintergrund zu ändern. Aber was ich auch einstelle, es bleibt bei dem dunkelblauen mit diesem Fenster.

    Wie ich schon sagte, habe Windows XP Professionell.

    Die Logdatei von HijackThis hänge ich mal hier an. Konnte dort aber nix auffälliges mehr entdecken.

    Ich hoffe, mir kann jemand helfen!
     

    Anhänge:

  2. Magier75

    Magier75 Megabyte

    Registriert seit:
    6. März 2002
    Beiträge:
    1.576
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Immerhin besser, als wenn er das komplette Log gepostet hätte. Wenn jemand das Log als Textdatei an seinen Beitrag anhängt, ist das auch in Ordnung.
     
  4. ralhoh

    ralhoh Byte

    Registriert seit:
    9. Oktober 2002
    Beiträge:
    23
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    mal auf Verdacht (in deinem Logfile ist nichts zu erkennen), besorge dir mal dieses Tool entpacke es.
    Dann das Tool im abgesicherten Modus(F8 beim booten) laufen lassen und dann die Datei C:\smitfiles.txt posten.


    Grüße Jasager
     
  6. Printmaster

    Printmaster Byte

    Registriert seit:
    21. Juli 2003
    Beiträge:
    95
  7. ralhoh

    ralhoh Byte

    Registriert seit:
    9. Oktober 2002
    Beiträge:
    23
    Vielen Dank an alle für die Ratschläge!

    Habe aber mittlerweile selber das Problem gefunden!:D

    Hatte heute noch mal Spybot S+D laufen lassen. Und plötzlich wurde mir vom Programm angezeigt, daß ich da in meinen "Program Files" einen Ordner namens "Spy Sherrif" hatte. Diesen Ordner hab ih komplett gelöscht und dann war da noch eine Registry-Eintragung von dem und noch eine Einzeldatei. Diese veiden Sachen hab ich dann über Spybot gelöscht.

    Und schon war das Problem behoben. Jetzt hab ich wieder den normalen Hintergrund und kann auch wieder alles einstellen!
     
  8. marco2802

    marco2802 ROM

    Registriert seit:
    4. November 2005
    Beiträge:
    4
    hi, ich hab seit gestern abend GENAU DAS GLEICHE Problem...hab auch diesen spysheriff gelöscht und krieg den hintergrund trotzdem nicht geändert...wo ist denn die reg datei dazu zum löschen? oder wie find ich alles was damit zusammenhängt, damit ich das auch löschen kann???
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    besorge dir mal dieses Tool entpacke es.
    Dann das Tool im abgesicherten Modus(F8 beim booten) laufen lassen(doppelklicke die runthis.bat) und dann die Datei C:\smitfiles.txt posten.



    Grüße Jasager
     
  10. jenny21

    jenny21 ROM

    Registriert seit:
    20. November 2005
    Beiträge:
    1
    Hey, ich habe genau diesen fehler gestern auch gemacht. Und ich habe auch genau die selben probleme wie du. Ich komme einfach nicht weiter. Habe schon überlegt meine festplatte zu löschen und windows neu drauf zu spielen, weiss aber nicht ob es was nützt.
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hast du es mal mit dem vorgeschlagenen Tool versucht? Wee ja das Logfile (C:\smitfiles.txt) posten.


    Grüße Jasager
     
  12. Poloman86C

    Poloman86C ROM

    Registriert seit:
    26. November 2005
    Beiträge:
    5
    hi,
    stelle mich mit dem Problem dann mal hinten an,

    res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm

    hier mein smitfiles.txt

    smitRem © log file
    version 2.7

    by noahdfear


    Microsoft Windows XP [Version 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key


    PSGuard.com key not present!

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~

    desktop.html


    ~~~ Drive root ~~~

    winstall.exe

    ~~~ Miscellaneous Files/folders ~~~




    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



    Remaining Post-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~

    desktop.html


    ~~~ Drive root ~~~

    winstall.exe


    ~~~ Miscellaneous Files/folders ~~~



    winstall.exe

    ~~~ Wininet.dll ~~~

    wininet.dll is missing!!


    desktop.html und winstall.exe hab ich nicht gefunden. hab meine ordneransicht schon angepasst aber ich find die dateien nicht!!

    hier der text von
    panda active scan

    Adware:adware/secure32 Not desinfected Windows Registry
    Possible Virus. Not desinfected D:\Tools\AnyDVD 4.2.4.2\AnyDVD\AnyDVD 5.2.4.2 Loader.exe


    MfG und danke

    Wolf
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    die müßten aber da sein, hast du smitrem im abgesicherten Modus (F8 beim booten) ausgeführt? Poste mal noch zusätzlich einen Link zu deinem HijackThis Log wie hier beschrieben.


    Grüße Jasager
     
  14. Poloman86C

    Poloman86C ROM

    Registriert seit:
    26. November 2005
    Beiträge:
    5
    also ich find die dateien nicht!!
    ja mit f8 beim neustart im abgesicherten modus.
    das proggi hab ich über sys steuerung deinstalliert.
    die drei runden kreise mit dem roten x sind auch aus der taskleiste verschwunden.

    nur beim starten des inet explorer verweist er immer auf o.a. datei...

    hier der hijackthis text:

    http://www.hijackthis.de/logfiles/07a6100fe31d86e0c28db33152b3e109.html

    MfG und danke
    Wolf
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich hatte doch extra Link geschrieben, und die Anleitung zu HijackThis ist doch auch nicht zweideutig formuliert, wo ist das Problem? Also editiere deinen Beitrag und poste das HijackThis Log als Link zu deiner Auswertung.
    *erledigt*


    Grüße Jasager
     
  16. Poloman86C

    Poloman86C ROM

    Registriert seit:
    26. November 2005
    Beiträge:
    5
    sorry, da waren die finger wieder schneller wie der verstand :(

    habs korrigiert

    mfg
    wolf
     
  17. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstmal nimmst du, falls noch nicht geschehen, folgende Einstellungen vor. Dann gehst du in den abgesicherten Modus und fixt(Haken davor und auf fix checked) mit HijackThis folgende Einträge:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

    Dann löschst du folgende Dateien:
    c:\secure32.html
    C:\Windows\desktop.html
    C:\winstall.exe

    Dann meldest du dich wieder ob alles funktioniert hat.


    Grüße Jasager
     
  18. Poloman86C

    Poloman86C ROM

    Registriert seit:
    26. November 2005
    Beiträge:
    5
    sorry aber die dateien hab ich nicht gefunden.

    der IE lässt sich aber wieder problem starten.

    vielen dank für die professionelle hilfe!!!!!

    mfg und danke
    wolf
     
  19. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    naja, da Panda die Dateien auch nicht findet sollte es wohl in Ordnung sein. Zukünftig Finger weg von Cracks und Keygens, bzw. von Seiten wo man diese bekommt.
    Außerdem solltest du unbedingt dein System patchen, das ist noch total jungfreudig, also SP2 einspielen +alle weiteren Updates.


    Grüße Jasager
     
  20. Poloman86C

    Poloman86C ROM

    Registriert seit:
    26. November 2005
    Beiträge:
    5
    sp2 geht nicht, denke du weisst warum :D

    und ich wollt eigentlich nur für gtr die n-schleife runterladen... so ein mist aber auch :(

    mfg und danke
    wolf
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen