Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Spyware Infection !?

cK` / 4 Antworten / Baumansicht Nickles

hi jungs,

hab da ein Problem, undzwar hat sich irgendwie müll auf meinem PC festgefressen...
hier Mal ein Bild: http://artck.net/aRthuR/spyware.jpg

War am surfen als dann plötzlich sich im Hintergrund nur irgendwelche .exen öffneteten und sich der Desktop zu dem Veränderte. Dies Obwohl AntiVir drauf ist.
Habe schon Ad-Ware und Spybot - Search & Destroy durchlaufen lassen aber die finden nun nix mehr.
Habe direkt im TaskManager alle exen die ich net kannte ausgemacht und in der Regestrie auch alle Autostart und deren Zielpfad gelöscht.
Nun kriege ich aber das Bild aufm Desktop net weg undzwar ist es ein Bild auf dem normalen Hintergrund, da ich beim Booten und herunterfahren den normalen Hintergrund für 1-2 Sekunde sehe.
Es funktioniert so alles normal nur der Hintergrund nervt!
Auf dem Bild sieht man das auch eine Hintergrund Anderung gesperrt ist..

kann mir da einer Helfen??
danke im vorraus

MfG

UselessUser cK` „Spyware Infection !?“
Optionen

Hallo cK ´,

schau mal hier.

MfG

UselessUser

Scott10 UselessUser „Hallo cK , schau mal hier. MfG UselessUser“
Optionen

Die Hintergrundbilder von WindowsXP findest Du im Ordner C:\ Windows \ Web \ Wallpaper.
So wie es auf Deinem Bild aussieht, scheint sich dort eine Html-Datei (oder eine Verknüpfung zu so einer)
'eingenistet zu haben.

Schau Dir mal die letzte Datei im Fenster "Eigenschaften von Anzeige" unter dem Reiter "Desktop" genauer
mit dem Windows-Explorer (in oben genanntem Verzeichnis) an.
Ich tippe, es ist nur eine Verknüpfung zu einem anderen Verzeichnis.

Das kriegst Du raus, wenn Du die Datei mit 1x rechts anklickst und dann "Eigenschaften" anwählst.
Im Eigenschaften-Fenster findest Du eine Zeile die "Ziel" heisst.
Dort ist der Pfad zu dem Hintergrundbild eingetragen.
Das wird, denke ich, eine Datei mit der Endung .jpg, .jpeg, .bmp (o.ä.) sein.

Dann sollte es möglich sein mit dem Explorer dorthin zu wechseln und die Datei zu löschen.

PS: Wenn Du Spybot - Search & Destroy benutzt, empfehle ich den dort enthaltenen 'TeaTimer' zu aktivieren.
Den findest Du im Menü vom Spybot unter MODUS --> ERWEITERTER MODUS --> WERKZEUGE
und heisst "Resident".
Dort sollten die beiden Kästchen im Feld "Status des permanenten Schutzes" aktiviert sein.
Beim nächsten Neustart wird der 'TeaTimer' unten rechts im SystemTray (sprich Autostart) mitgeladen.
Versucht jetzt ein Programm während der Internet-Sitzung in die Registry zu schreiben, kriegst Du ein
Warnfenster gezeigt. Dort wirst Du gefragt, ob Du diesen Vorgang erlauben möchtest oder nicht.
(Bei mir werden derartige Anfragen generell Verneint, wenn ich im Internet bin ! )

Bitte beachten: Solltest Du Programme installieren (ohne im Internet zu sein), dann bekommst Du diese
Anfragen auch. Die solltest Du dann Erlauben - sonst läuft das Programm nicht.

MfG Scott10

Man lernt Nie aus

cK` Nachtrag zu: „Spyware Infection !?“
Optionen

was ist davon müll? :P


Logfile of HijackThis v1.99.1
Scan saved at 22:05:40, on 29.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Winamp\winamp.exe
D:\Programme\Miranda\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\downs\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\appwiz.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

UselessUser cK` „was ist davon müll? :P Logfile of HijackThis v1.99.1 Scan saved at 22:05:40, on...“
Optionen

Holla, du bist ja sehr schnell ... *schmunzel*

Mir fällt bei der Durchsicht nichts Verdächtiges auf, die Datei CorporationBlueSoleilBTNtService.exe scheint mit dem Bluetooth-Programm zu tun zu haben, aber in der korrekten Auswertung muss ich dich an das Trojaner-Board verweisen, das ein Extra-Forum dafür bietet.

Was den Desktophintergrund angeht, so kannst du versuchen, dir die Rechte zurückzuholen:
Start > Ausführen > eingeben: gpedit.msc > Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Anzeige > Ändern des Hintergrundes verhindern. Schau einmal, ob diese Sicherheitsvorlage aktiviert ist und deaktiviere sie wieder. Wenn das Schadprogramm nicht mehr aktiv ist, dürftest du damit Erfolg haben.

Sollte das nicht funktionieren, könntest du auch mit einem Tool wie Regmon die Registry-Zugriffe registrieren, wenn du obige Sicherheitsrichtlinie veränderst. Dann kommst du auf den Schlüssel in der Registry, der ellenlang ist und so lauten könnte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{0D266378-7F94-4F61-ACF6-14C3124CF1F3}User\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
Der Eintrag ist "NoChangingWallpaper".

MfG

UselessUser