Spam Hintergrundbild Windows Xp

Nachrichten zum Thema: Sicherheit

2 Seiten
1
2
→

Spam Hintergrundbild Windows Xp

#1 mb080574

WinFuturianer

Gruppe: aktive Mitglieder
Beiträge: 136
Beigetreten: 18. Dezember 02
Reputation: 0

geschrieben 11. Juni 2004 - 13:49

Ich hab heute schon den zweiten Rechner bekommen auf dem ein Hintergrundbild eingerichtet war, das sich nicht entfernen lässt. D.h. über Eigenschaften von Anzeige ist gar keins eingerichtet und das Schema steht auf Windows klassisch. Kein Viren scanner findet was. Auch mit Spybot und Adaware wird nichts gefunden.
Das Hintergrundbild ist schwarz und es steht was drauf, dass ich vor nichts und niemanden sicher wäre und die Daten auf meinem Rechner für jeden zügänglich wären (so oder so ähnlich - auf englisch).

Wenn ich ein rechtklick auf das "hintergrundbild" mache und mir die Eigenschaften anzeigen lasse, erfahre ich von einer Verknüpfung auf c:\windows\web\desktop.htm Diese datei wenn ich lösche ist der Hintergrund komplett weiß, d.h. das "Hintergrundbild ist offensichtlich noch da, aber halt weiß.
Das gesamte Bild ist ein Link zu der Seite www.smart-security.info Auf dieser Seite finde ich aber auch nichts wie ich den Sch* wieder loswerde...

Es ist also offensichtlich eine Art Werbeaktion für irgendeine Security Software....

Achso ja, beide Rechner haben Windows XP drauf. der eine Pro der andere Home Version

Danke für eure Hilfe

Becki

Nach oben
Nach oben of the page up there ^

#2 hans_maulwurf

Freak

Gruppe: aktive Mitglieder
Beiträge: 1.358
Beigetreten: 23. Februar 04
Reputation: 0
Wohnort:Oberhausen

geschrieben 11. Juni 2004 - 13:53

hijackThis laden logfile posten dann sehen wir weiter zu finden hier: http://www.spychecke...hijackthis.html

Dieser Beitrag wurde von hans_maulwurf bearbeitet: 11. Juni 2004 - 13:54

Nach oben
Nach oben of the page up there ^

#3 mb080574

WinFuturianer

Gruppe: aktive Mitglieder
Beiträge: 136
Beigetreten: 18. Dezember 02
Reputation: 0

geschrieben 11. Juni 2004 - 14:06

Danke schon mal. Hier das Log File:

Logfile of HijackThis v1.97.7
Scan saved at 15:02:37, on 11.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\DownloadWare\dw.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Antivirus\HijackThis.exe
C:\WINDOWS\system32\ntvdm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Technologies\main\launchpd.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/132828b8e9708f627122/...RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8149.2470949074

Nach oben
Nach oben of the page up there ^

#4 _shelby_

Gruppe: Gäste

geschrieben 11. Juni 2004 - 14:23

All die Newnet oder Newdotnet-Einträge sind Spyware!

Die hatte ich auch schon mal, als ich mir Icons installiert habe. Fixen!

also in: O2, O4 und O10 , die O16 mit der pl.exe kommt mir auch verdächtig vor.

Dieser Beitrag wurde von shelby bearbeitet: 11. Juni 2004 - 14:28

Nach oben
Nach oben of the page up there ^

#5 radyr

Bambi

Gruppe: aktive Mitglieder
Beiträge: 5.019
Beigetreten: 05. September 03
Reputation: 84
Geschlecht:Männlich

geschrieben 11. Juni 2004 - 14:41

Zitat

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Aua!

Nach oben
Nach oben of the page up there ^

#6 mb080574

WinFuturianer

Gruppe: aktive Mitglieder
Beiträge: 136
Beigetreten: 18. Dezember 02
Reputation: 0

geschrieben 11. Juni 2004 - 15:57

So, nach der Deinstallation von new.net und nochmaligen scannen mit Adaware. Spybot plus a² wurden jede Menge Dateien und Registry Einträge gelöscht.
Das Hintergrundbild ist jedoch nach wie vor drauf

Hier das neue Log File nach der Säuberungsaktion

Logfile of HijackThis v1.97.7
Scan saved at 16:48:33, on 11.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\a2\a2guard.exe
C:\Programme\a2\a2start.exe
C:\Programme\a2\a2scan.exe
F:\Antivirus\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Technologies\main\launchpd.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/132828b8e9708f627122/...RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8149.2470949074

Das mit dieser pl.exe muss ich noch prüfen, aber ansonsten weiß ich auch nicht weiter.

Trotzdem schonmal vielen Dank für die bisherige Hilfe und die hoffentlich noch kommende

Gruß

Becki

Nach oben
Nach oben of the page up there ^

#7 mb080574

WinFuturianer

Gruppe: aktive Mitglieder
Beiträge: 136
Beigetreten: 18. Dezember 02
Reputation: 0

geschrieben 11. Juni 2004 - 16:08

So sieht das Ganze übrigens aus:

#8 _shelby_

Gruppe: Gäste

geschrieben 11. Juni 2004 - 16:43

Das muss eines von den Autorun-Einträgen in O4 sein, dieses blöde Ding muss ja schließlich mitgestartet werden.

Die neue logfile sieht schon viel besser aus. Auf jeden Fall pl.exe prüfen, was das ist.

Nach oben
Nach oben of the page up there ^

#9 ´quark oO'2

Spezialist

Gruppe: aktive Mitglieder
Beiträge: 514
Beigetreten: 02. Mai 04
Reputation: 0

geschrieben 11. Juni 2004 - 16:45

Zitat

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

<<< Was ist das ?

Zitat

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

<<< Das is Spyware !

Zitat

O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe

Und wer braucht schon zeitsyncronisation mit dem Inet ?

Nach oben
Nach oben of the page up there ^

#10 ichbines

netter User

Gruppe: aktive Mitglieder
Beiträge: 5.725
Beigetreten: 06. Oktober 02
Reputation: 0
Wohnort:Parndorf (Österreich)
Interessen:Computer, Linux

geschrieben 11. Juni 2004 - 16:50

Zitat (´quark oO'2: 11.06.2004, 17:45)

Zitat

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

<<< Was ist das ?

das ist der automatischer Updater vom Real player

Nach oben
Nach oben of the page up there ^

#11 ´quark oO'2

Spezialist

Gruppe: aktive Mitglieder
Beiträge: 514
Beigetreten: 02. Mai 04
Reputation: 0

geschrieben 11. Juni 2004 - 16:52

Axo,... nicht nur Adware 6.0 benutzen , sondern auch mal Regcleaner

Zitat

QUOTE (´quark oO'2 @ 11.06.2004, 17:45)
QUOTE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
<<< Was ist das ?

Aha das wusst ich nicht ..habe kein Realplayer und nutze ihn auch nicht

Dieser Beitrag wurde von ´quark oO'2 bearbeitet: 11. Juni 2004 - 16:54

Nach oben
Nach oben of the page up there ^

#12 Strider

Nachtelf-Jäscher

Gruppe: aktive Mitglieder
Beiträge: 2.816
Beigetreten: 04. Dezember 03
Reputation: 2
Wohnort:Luxemburg
Interessen:Musik, Hardware, Windows, Informatik im allgemeinen

geschrieben 11. Juni 2004 - 17:54

O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
das hier sieht nicht gut aus, fixen

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150...RdxIE601_de.cab
das hier ist auch von real player soweit ich weiss... naja würd ich aber auch fixen, da unnötig

Gleichermaßen die größte wie auch die am unmöglichsten zu bewerkstelligende Herausforderung ist die, allen Menschen immer und überall gerecht werden zu wollen.

Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.

Nach oben
Nach oben of the page up there ^

#13 Rika

Ausgebildeter ROFLcopter-Pilot

Gruppe: aktive Mitglieder
Beiträge: 11.533
Beigetreten: 11. Juni 03
Reputation: 2
Geschlecht:Männlich

geschrieben 11. Juni 2004 - 18:22

@mob01900815: Schalte doch erstmal den Active Desktop ab, ansonsten wird der Hintergrund doch nie normal...

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild