Virus ändert Hintergrundbild

Dieses Thema im Forum "Sicherheit" wurde erstellt von Starbase64, 30. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Starbase64

    Starbase64 Byte

    Registriert seit:
    19. Juni 2005
    Beiträge:
    70
    Hallo,

    Hatte mir ein paar Viren eingefangen, die haben das Hintergrundbild geändert und ein Programm namens Pc Sheriff oder so ähnlich installiert.

    Angeblich soll dieses Prog SpyWare und so weiter entfernen, aber es war selbst Spyware und Trojaner zugleich.

    Also Kaspersky hat die Viren entfernt, jedoch kann ich das Hintergrundbild nicht mehr ändern.

    Unter Eigenschaften von Desktop ist alles gesperrt.

    Was kann ich nun noch machen?

    MfG

    Maik
     
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    bei der Anleitung in Nevoks Link wäre ich vorsichtig, Spysheriff hat sich seit Juni in manchen Dingen verändert, er hat jetzt teilweise andere Prozesse und andere Registryeinträge.
    Daher solltest du erstmal das hier machen:

    Grüße Jasager
     
  5. Starbase64

    Starbase64 Byte

    Registriert seit:
    19. Juni 2005
    Beiträge:
    70
  6. Starbase64

    Starbase64 Byte

    Registriert seit:
    19. Juni 2005
    Beiträge:
    70
    Das Hintergrundbild des Spy Sheriff hat sich jetzt mit dem Namen "Desktop.html" im Windows Verzeichnis plaziert.

    Nach löschen der Datei, und entfernen der Registry Einträge war es wieder möglich ein Hintergrund meiner Wahl einzustellen.

    Hier der Quelltext der "Desktop.html":

    <html>
    <head>
    <title></title>
    <script lagnuage=javascript>
    document.oncontextmenu=new Function("return false")
    </script>
    </head>
    <body bgcolor="#0000FF">
    <table width=100% height=100% border=0>
    <tr><td align=center valign=center>
    <table border=0 bgcolor="#000000" cellpadding=30><tr><td>
    <div name=v id=v style="color:#FF0000; font-family: verdana; font-size: 45px;

    font-weight:bold; width:530px; text-align: center;">SPYWARE INFECTION</div>
    <br><br>
    <div style="color:#FFFFFF; font-family: verdana; font-size: 12px; width:530px; text-align:

    center;">
    Your system is infected with spyware. Windows recommends you to use a spyware removal tool to prevent loss of important data and increase system prefomance. Using this PC before having it cleaned from spyware threats is highly discouraged.

    </div>
    </td></tr></table>
    </td></tr>
    </table>
    </body>
    </html>


    MfG

    Maik
     
  7. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Folgende Einträge solltest du fixen:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

    Im übrigen wärst du gut beraten, dass SP2 zu installieren.

    Gruß
    Nevok
     
  8. ultravirenkill

    ultravirenkill ROM

    Registriert seit:
    8. Dezember 2005
    Beiträge:
    1
    ich habe au diesen spy sheriff gehabt und habe alles fersucht was es gibt und habe das problem gelöst ich habe die software
    "Xoftspy" geholt und es war wider alles beim alten. Aber er sucht alles durch und dann muss man sich regestriren das du sie weg bekommst aber ihr könnt meine regestrirungs daten bekommen


    Name:
    S/N:


    ich helfe gerne wenn ich kann ;) ;) ;)
     
  9. guckguck

    guckguck ROM

    Registriert seit:
    25. Dezember 2005
    Beiträge:
    1
    Hi, habe das selbe Problem und folgendes Log erstellt, was muss ich jetzt machen?

    http://www.hijackthis.de/logfiles/bf4333ec72f46298d2ae588c7ae4700f.html

    Danke schon mal!

    ----------------------------------------------------------------
    Anmerkung der Moderation:

    Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/thread134046.html

    Es kann auch als Textdatei an den Beitrag angehängt werden.

    Gruß
    Nevok

    ----------------------------------------------------------------
     
  10. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Beim nächsten mal vorher lesen: http://www.pcwelt.de/forum/thread134046.html

    Dann solltest du den als "böse" deklarierten Eintrag fixen. Wie man fixt, wird hier beschrieben:

    http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

    Dann solltest du wie folgt vorgehen (nach klick auf den u. a. Link auf "Wiederherstellung" klicken):

    http://www.sophos.de/virusinfo/analyses/trojagobota.html#

    Danach solltest du das SP2 sowie das Update-Pack 2.11 installieren.

    Gruß
    Nevok
     
  11. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    du hast einen Backdoor Trojaner auf deinem System

    C:\WINDOWS\sysldr32.exe

    O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe

    http://www.sophos.de/virusinfo/analyses/trojagobota.html

    Du bist heute schon der zweite mit einem verseuchten Rechner und der dem zweifelhaften Virenschutz mit AntiVir (H+BEDV Datentechnik), ich meine Geiz ist geil.. sagt zumindest die Fernsehwerbung :) , du solltest aber trotzdem über bessere Software in der Richtung nachdenken oder das Gefahrenpotential durch vorsichtigeren Umgang mit dem Internet minimieren.

    Wolfgang77
     
  12. anakonda5

    anakonda5 ROM

    Registriert seit:
    30. Dezember 2005
    Beiträge:
    1
    Hallo S/N,

    leider bin ich auch vom spysheriff gefunden worden.habe es mit xoftspy aufgespürt, leider muss man sich registrieren. hast du den code noch und den usernamen?? wäre echt super!!!!

    Liebe Grüsse
    MIH
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen