Anderer Desktop CWS admincash usw.

bandit2 · 13. April 2005, 17:38:02 Uhr

Hallo Leute
vielleicht könnt ihr mir ja helfen alleine bekomme ich es leider nicht hin

folgendes problem stellt sich

der pc fährt normal hoch und legt beim starten einen anderen desktop uber den von mir eingestellten desktop

die einstellungen lassen sich nicht änderen wenn ich systemsteuerung aufrufe wird das programm nicht geöffnet

spay sweeper erkennt zwar die viren kann sie aber nicht endgültig entfernen

adware same in green

xoftspy erkennt sie auch aber lässt sich ebenfall nicht entfernen

wenn ich auf dem desktop die rechte maustaste drücke kann ich mir nur einen quellcode anzeigen lassen
unter eigenschaften erscheint dann folgendes:

file//C:\windows\dektop.html

Logfile of HijackThis v1.99.1
Scan saved at 16:53:30, on 13.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sdkll.exe
C:\WINDOWS\system32\syssy.exe
C:\Programme\XoftSpy\XoftSpy.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\DOKUME~1\Willi\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\mcero.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\mcero.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
res://C:\WINDOWS\mcero.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\mcero.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\mcero.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\mcero.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {195C993A-4CF2-769E-0596-AB87F9C1A0EA} - (no file)
O2 - BHO: (no name) - {4A117004-8517-F072-DFAD-F8CC8577DE88} - (no file)
O2 - BHO: (no name) - {DC344D27-A0D6-DAA1-7B75-1A69A9603122} -
C:\WINDOWS\addes32.dll
O2 - BHO: (no name) - {F82CEDA4-37A3-5A57-F798-7ADFC94650F8} - (no file)
O2 - BHO: (no name) - {FD0FB90C-23EF-E217-CB18-092B3B6475A5} - (no file)
O4 - HKLM\..\Run: [d3ri.exe] C:\WINDOWS\system32\d3ri.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center]
C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [syssy.exe] C:\WINDOWS\system32\syssy.exe
O4 - HKLM\..\RunOnce: [sdkll.exe] C:\WINDOWS\sdkll.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch]
"C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy
Sweeper\SpySweeper.exe" /0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche-Assistent -
{9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame
Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: BINGOOO - {F276FEA0-C948-11D4-8F0D-C8485C74177D} -
C:\PROGRAMME\BINGOOO\BINGOOO.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2F**ked.biz
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) -
http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100264675899
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -
http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4426/mcfscan.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{FECCB592-C8C0-4B1D-93FE-C2689F5EFECF}:
NameServer = 192.168.0.1
O20 - Winlogon Notify: iexplore - C:\WINDOWS\SYSTEM32\Bd0dE.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) -
Unknown owner - C:\WINDOWS\system32\winad.exe (file missing)

American · 14. April 2005, 10:09:49 Uhr

Du schreibst, das die Viren nicht entfernt werden können, hast du die Scans auch im Abgesicherten Modus gemacht?

TMK · 14. April 2005, 10:30:47 Uhr

Hi,

da ist natürlich schon einiges nicht in Ordnung, die folgenden Dinge am Besten im abgesicherten Modus in Hijackthis fixen:

Zitieren
C:\WINDOWS\sdkll.exe
C:\WINDOWS\system32\syssy.exe
C:\Programme\XoftSpy\XoftSpy.exe
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {195C993A-4CF2-769E-0596-AB87F9C1A0EA} - (no file)
O2 - BHO: (no name) - {4A117004-8517-F072-DFAD-F8CC8577DE88} - (no file)
O2 - BHO: (no name) - {DC344D27-A0D6-DAA1-7B75-1A69A9603122} -
O2 - BHO: (no name) - {F82CEDA4-37A3-5A57-F798-7ADFC94650F8} - (no file)
O2 - BHO: (no name) - {FD0FB90C-23EF-E217-CB18-092B3B6475A5} - (no file)
O4 - HKLM\..\Run: [d3ri.exe] C:\WINDOWS\system32\d3ri.exe
O4 - HKLM\..\Run: [PestPatrol Control Center]
O4 - HKLM\..\Run: [syssy.exe] C:\WINDOWS\system32\syssy.exe
O4 - HKLM\..\RunOnce: [sdkll.exe] C:\WINDOWS\sdkll.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch]
"C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy
O9 - Extra button: BINGOOO - {F276FEA0-C948-11D4-8F0D-C8485C74177D} -
C:\PROGRAMME\BINGOOO\BINGOOO.EXE (file missing)

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2F**ked.biz
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) -
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -
O20 - Winlogon Notify: iexplore - C:\WINDOWS\SYSTEM32\Bd0dE.dll
Unknown owner - C:\WINDOWS\system32\winad.exe (file missing)

...anschliessend ebenfalls im abgesicherten Modus auch noch SpyBot, Ad-aware und CWShredder über das System laufen lassen, ggf. vorher die Programme auf den aktuellsten Stand bringen und updaten. Soweit geschehen, unbedingt die interne XP-Firewall wieder aktivieren und AntiVir oder ähnliches installieren.

Generell ist es sicherer, wenn du ausschliesslich mit Firefox im Internet surfst.

bandit2 · 14. April 2005, 11:27:12 Uhr

zu nächst mal danke

werde mich umgehend an die arbeit machen

HWE-Forum.de

Anderer Desktop CWS admincash usw.

bandit2

13. April 2005, 17:38:02 Uhr Letzte Bearbeitung: 13. April 2005, 17:40:30 Uhr von TMK

American

14. April 2005, 10:09:49 Uhr #1

TMK

14. April 2005, 10:30:47 Uhr #2

bandit2

14. April 2005, 11:27:12 Uhr #3