Startseite

[HWE-News] [HWE-FAQ] [Tests] [Artikel] [Softwareecke] [RC5-Proxy] [Overclocking] [TreiberEcke] [HWE-FanShop] [Links]

Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
22. September 2018, 10:14:54 Uhr

Einloggen mit Benutzername, Passwort und Sitzungslänge
Suche:     Erweiterte Suche
223521 Beiträge in 24106 Themen von 18385 Mitglieder, Neuestes Mitglied: Harrys

RC5-Teamstats: Gestern: 0 WUs, . Platz,
Gesamt: 0 WUs, . Platz ( Members)

Übersicht Hilfe Suche Kalender Einloggen Registrieren
HWE-Forum.de  |  Internet und Co.  |  Schutz & Sicherheit (Moderatoren: TMK, American, gandal)  |  Thema: "Your Computer is infected!" - Virus, HILFE!
0 Mitglieder und 1 Gast betrachten dieses Thema. « vorheriges nächstes »
Seiten: [1] 2 Nach unten Thema versenden Drucken
Autor Thema: "Your Computer is infected!" - Virus, HILFE!  (Gelesen 7441 mal)
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« am: 13. Februar 2009, 14:26:14 Uhr »

Hallo Leute,
Seit einem oder zwei Tagen habe ich einen dieser "Malware-Werbung"-Viren auf dem Computer, der mir anhand einer Sprechblase und einem weißen Kreuz in einem roten Kreis folgendes weißmachen will:

"Warning! Security report
Your Computer is infected! It is recommended to start spyware cleaner tool."

Auch mein Desktop-Hintergrund hat sich in ganz weiß verändert, was ich jetzt nicht mehr ändern kann. Auch der Task-Manager "wurde vom Administrator deaktiviert". Letzteres hab ich wieder hinbekommen.

Da ich weiß, wie lästig es ist, wenn mehrere dieser Viren sich eingenistet haben, habe ich mich entschieden ein HijackThis.Log zu schicken. Davor habe ich noch mein Avira AntiVir durchsuchen lassen, und auch das Lavasoft Ad-Aware. Beide Programme laufen wesentlich langsamer als gewöhnlich, sodass sie nie zu einem Ende kommen und schließlich irgendwann "keine Rückmeldung" mehr senden.

Generell ist mein PC sehr langsam geworden, wo es doch eigentlich einen 3.00 GHz Dual-Core Prozessor besitzt.

Kann mir bitte jemand helfen?


Anbei das Logfile.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12:52, on 13.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
G:\Programme\MagicTune Premium\MagicTuneEngine.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
G:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
G:\Programme\Oxigen\bin\Oxigen.exe
C:\Programme\Java\jre6\bin\jusched.exe
G:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
G:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
G:\Programme\Apple\iTunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
G:\Programme\Vista Drive Icon\DrvIcon.exe
G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
G:\Programme\MagicTune Premium\MagicTune.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
G:\Programme\DAEMON Tools Lite\daemon.exe
G:\Programme\Rainlendar2\Rainlendar2.exe
C:\windows\system32\iauuuwc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
G:\Programme\MagicTune Premium\GammaTray.exe
G:\Programme\SEC\Natural Color Pro\NCProTray.exe
G:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\iPod\bin\iPodService.exe
G:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Internet Explorer\iexplore.exe
G:\Programme\Mozilla\firefox.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
G:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\frmwrk32.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de?&affid=1&uid=B62A6CD9-08E6-4B8A-8327-D7C7581800F6
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: {a0149812-7f40-27a9-5a54-fba7eb28a221} - {122a82be-7abf-45a5-9a72-04f72189410a} - (no file)
O2 - BHO: (no name) - {1D9BCCE2-C4B0-4C21-84B7-7FD5509A2C2A} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "G:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] G:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [OxigenClientAdmin] "G:\Programme\Oxigen\bin\Oxigen.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] G:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [HydraVisionViewport] G:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "G:\Programme\Apple\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DrvIcon] G:\Programme\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [OM2_Monitor] "G:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [DAEMON Tools Lite] "G:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Rainlendar2] G:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [iauuuwc] "c:\windows\system32\iauuuwc.exe" iauuuwc
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Yahoo! Widgets.lnk = G:\Programme\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GammaTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NCProTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6\ICQ.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: sngbrm.dll
O20 - Winlogon Notify: cbXQkiIA - cbXQkiIA.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MagicTuneEngine - Unknown owner - G:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8957 bytes


Mein OS ist das Microsoft Windows XP Professional mit Service Pack 2, ich benutze Mozilla Firefox und ich denke, es liegt an der frmwrk32.exe-Datei, da dsa Kreuz verschwindet, wenn ich den Prozess beende.
Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #1 am: 13. Februar 2009, 14:50:37 Uhr »

Fixe diese Einträge:

C:\windows\system32\iauuuwc.exe

C:\WINDOWS\system32\frmwrk32.exe

O2 - BHO: {a0149812-7f40-27a9-5a54-fba7eb28a221} - {122a82be-7abf-45a5-9a72-04f72189410a} - (no file)

O2 - BHO: (no name) - {1D9BCCE2-C4B0-4C21-84B7-7FD5509A2C2A} - (no file)

O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe

O4 - HKCU\..\Run: [iauuuwc] "c:\windows\system32\iauuuwc.exe" iauuuwc

O20 - AppInit_DLLs: sngbrm.dll

Danach starte den Rechner im abgesicherten Modus (F8) und lösche folgende Dateien falls noch vorhanden:

C:\windows\system32\iauuuwc.exe

C:\WINDOWS\system32\frmwrk32.exe

Danach leerst du den Papierkorb und startest dann erst neu.

Auf einen anschließender Scan mit Spybot S&D, Ad-Aware und deinem Virenscanner solltest du nicht verzichten.

Gespeichert
Bitte keine Supportanfragen per PM stellen.
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #2 am: 13. Februar 2009, 15:32:39 Uhr »

Danke erstmal.
Scheint, als hätte es mir 'n bisschen was gebracht.

Das "Rote Kreuz" und die Warnmeldung sind jetzt verschwunden und auch mein alter Desktop-Hintergrund ist wieder erschienen. Aber ich kann ihn trotzdem nicht ändern und auch um meine Desktop-Symbole haben eine komische unklare Umrandung.

Ad-Aware läuft weiterhin sehr langsam, edit: Läuft viel schneller, habe mich vertan  :)

So sehen die Symbole aus. Auflösung ist auf 1680x1050 und die Farbqualität ist auf 32 Bit.

http://i44.tinypic.com/2vilatc.png
« Letzte Änderung: 13. Februar 2009, 15:48:12 Uhr von 123_lamps » Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #3 am: 13. Februar 2009, 15:52:39 Uhr »

Mir fällt dazu nur dies ein:

Start > Systemsteuerung > System > Erweitert > bei "Systemleistung" Einstellungen anklicken > Visuelle Effekte
ein Häkchen bei "Durchsichtigen Hintergrund für Symbolunterschriften auf dem Desktop" setzen.

Sollte das nicht helfen und du den Eindruck hast dein System nicht richtig läuft, hilft wohl nur eine Systemwiederherstellung zu einem Zeitpunkt als der Rechner noch absolut virenfrei war oder eine Neuinstallation des Systems.
Gespeichert
Bitte keine Supportanfragen per PM stellen.
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #4 am: 13. Februar 2009, 15:56:55 Uhr »

Das ist ja mein Problem, dort ist schon ein Häkchen.

Und mein Desktop-Hintergrund lässt sich auch nicht mehr verändern.

Naja, trotzdem VIELEN DANK für deine Hilfe, hat mir echt geholfen, denn den egentlichen Virus bin ich ja nun los :)

Dankeschön.
Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #5 am: 13. Februar 2009, 16:04:42 Uhr »

Dann hat der Virus irgendwelche Registryeinträge gemacht die eine Änderung des Desktop-Hintergrunds verhindern.

Am einfachsten ist eine Systemwiederherstellung zu einem Zeitpunkt als alles noch wie gewohnt funktioniert hat.

Programme > Zubehör > Systemprogramme > Systemwiederherstellung

Sollte dies nicht den gewünschten Erfolg haben, so lässt sich die Systemwiederherstellung wieder rückgängig machen.
Gespeichert
Bitte keine Supportanfragen per PM stellen.
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #6 am: 13. Februar 2009, 16:35:14 Uhr »

Zitat
Sollte dies nicht den gewünschten Erfolg haben, so lässt sich die Systemwiederherstellung wieder rückgängig machen.

Ach echt? Das wusste ich nicht. Okay, danke. Dann probier ich's aus.

Das Thema kann geschlossen werden, vielen Dank!
Gespeichert
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #7 am: 13. Februar 2009, 16:55:16 Uhr »

Super, jetzt klicke ich auf Weiter bei der Systemwiederherstellung und es passiert nichts...
Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #8 am: 13. Februar 2009, 17:01:23 Uhr »

Dann hast du bzw. das System keinen Wiederherstellungspunkt erstellt.
Gespeichert
Bitte keine Supportanfragen per PM stellen.
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #9 am: 13. Februar 2009, 17:03:05 Uhr »

Doch doch schon. Am 11. Januar unter "Last Known Good Configuration". Nur will mein PC bei der Bestätigung nichts machen... naja komisch.
Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #10 am: 13. Februar 2009, 17:13:33 Uhr »

Hmmmm...kommt denn gar keine Rückmeldung vom System?

Ansonsten funktioniert die Systemwiederherstellung auch nicht immer ganz fehlerfrei.

Hast du mit Spybot S&D, Ad-Aware und Virenscanner schon gescannt?

Um die tief in der Registry veränderten Einstellungen wieder rückgängig zu machen, hilft vielleicht ein Tool wie TuneUp Utility.

Gespeichert
Bitte keine Supportanfragen per PM stellen.
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #11 am: 13. Februar 2009, 17:36:11 Uhr »

Okay, schau ich mir mal an. Danke.
Gespeichert
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #12 am: 13. Februar 2009, 17:45:55 Uhr »

Ne, auch mit TuneUp gibt's nichts zu machen...
Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #13 am: 13. Februar 2009, 17:56:03 Uhr »

Wegen des Hintergrundbildes das sich nicht mehr ändern lässt:

Zitat
1. Starten Sie den Registry-Editor. Klicken Sie auf den Start-Button in der Taskleiste und wählen Sie die Option "Ausführen". Geben Sie dort in der Befehlszeile, neben Öffen, die Zeichenfolge "regedit" (ohne Anführungszeichen) ein.

2. Wählen Sie dort folgenden Pfad: HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft ->Windows -> CurrentVersion -> Policies -> ActiveDesktop.

3. Falls der Eintrag "ActiveDesktop" unter "Policies" nicht vorhanden sein sollte, dann legen Sie ihn mit einem Rechtsklick -> Neu -> Schlüssel an. Falls vorhanden, suchen Sie im rechten Fenster nach dem Eintrag "NoChangingWallpaper" (ohne Anführungszeichen). Ist dieser vorhanden, dann setzen Sie den Wert auf "0" (ohne Anführungszeichen). Ist der Eintrag nicht vorhanden, benennen Sie den Standardeintrag in "NoChangingWallpaper" um und setzten den Wert auf "0"(ohne Anführungszeichen).

4. Navigieren Sie als nächstes zum Ziel: HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> AktivDesktop

5. Falls auch hier der Eintrag "NoChangingWallpaper" steht, setzen Sie den Wert ebenfalls auf "0" (ohne Anführungszeichen).

Fertig - jetzt müssen Sie den Computer nur noch neu starten. Danach sollte es wieder ganz normal möglich sein das Hintergrundbild (Wallpaper) Ihres Desktops zu verändern.

Quelle

Gespeichert
Bitte keine Supportanfragen per PM stellen.
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #14 am: 13. Februar 2009, 18:10:34 Uhr »

Schon längst versucht... hab auch schon bei Google geguckt. Aber keiner der Tipps funkitoniert bei mir. regedit, gpedit.msc - schon alles probiert. Irgendwas ist total falsch hier bei mir.
Gespeichert
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #15 am: 13. Februar 2009, 18:19:51 Uhr »

Okay, interessant... ich habe mal neugestartet und die Symbole sind jetzt einwandfrei. Eins der zahlreichen Änderung und Rumpfuschereien von mir haben also gewirkt. Und mein Hintergrunbild ist jetzt auch veränderbar, wenn auch nur bedingt.

Wenn ich mit der rechten Maustaste auf ein Bild klicke, kann ich im Kontextmenü den Punkt "Als Desktophintergrund verwenden" auswählen. Aber durch die "Anzeige" geht es immernoch nicht. Ist kein großes Problem, aber ich würde trotzdem gerne wissen, wieso das so ist.

http://i39.tinypic.com/2j0zj0p.png

Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #16 am: 13. Februar 2009, 18:54:28 Uhr »

Bei der frmwrk32.exe (muss wohl ziemlich neu sein auf dem Markt der Viren und Trojaner) scheint es sich um eine Variante des Trojan.Fakeavalert zu handeln.

Anscheinend werden folgende Registry-Änderungen vorgenommen:

    * The following Registry Keys were created:
          o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
          o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
          o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
          o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    * The newly created Registry Values are:
          o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop]
                + NoChangingWallpaper = 0x00000001
          o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
                + NoSetActiveDesktop = 0x00000001
                + NoActiveDesktopChanges = 0x00000001
          o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
                + Framework Windows = "frmwrk32.exe"

            so that frmwrk32.exe runs every time Windows starts
          o [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
                + Wallpaper = "%System%\ahtn.htm"
          o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
                + NoSetActiveDesktop = 0x00000001
                + NoActiveDesktopChanges = 0x00000001
          o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
                + NoChangingWallpaper = 0x00000001
          o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
                + DisableTaskMgr = 0x00000001

            to prevent users from starting Task Manager (Taskmgr.exe)

    * The following Registry Value was deleted:
          o [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
                + Wallpaper = ""

Quelle: http://www.threatexpert.com/report.aspx?md5=4d9c6f8137a3b76b32d5d10df9033406

Überprüfe das einmal. Eine Neuinstallation wäre aber das bessere Mittel.

« Letzte Änderung: 13. Februar 2009, 20:35:04 Uhr von tyco » Gespeichert
Bitte keine Supportanfragen per PM stellen.
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #17 am: 13. Februar 2009, 19:25:36 Uhr »

Ah, cool. Danke.
Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #18 am: 13. Februar 2009, 20:07:09 Uhr »

Zudem sollen angeblich - muss ja nicht immer so sein - folgende Dateien erstellt werden (siehe mein obiger Link):

mousehook.dll

ntdll64.dll

init32.exe

Suche nach diesen Dateien - incl. versteckter Dateien - auf C:\.  Bei mir habe ich sie nicht gefunden. Du kannst sie also nach einem Fund beruhigt löschen.

Die tatsächlich vorhandene userinit.exe sollte verändert sein, wenn du diese Dateien auf deinem System gefunden hast. Ersetze sie indem du sie dir von einem sauberen System besorgst.

« Letzte Änderung: 13. Februar 2009, 20:31:57 Uhr von tyco » Gespeichert
Bitte keine Supportanfragen per PM stellen.
123_lamps
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 25

« Antwort #19 am: 20. Februar 2009, 18:07:23 Uhr »

Die Dateien gibt's bei mir nicht, trotzdem danke.  :)
Gespeichert
Seiten: [1] 2 Nach oben Thema versenden Drucken 
HWE-Forum.de  |  Internet und Co.  |  Schutz & Sicherheit (Moderatoren: TMK, American, gandal)  |  Thema: "Your Computer is infected!" - Virus, HILFE! « vorheriges nächstes »
 

Impressum | SMF 2.0.15 | SMF © 2011, Simple Machines
Seite erstellt in 2.171 Sekunden mit 24 Abfragen.