Spam Hintergrundbild Windows Xp
#1
geschrieben 11. Juni 2004 - 13:49
Das Hintergrundbild ist schwarz und es steht was drauf, dass ich vor nichts und niemanden sicher wäre und die Daten auf meinem Rechner für jeden zügänglich wären (so oder so ähnlich - auf englisch).
Wenn ich ein rechtklick auf das "hintergrundbild" mache und mir die Eigenschaften anzeigen lasse, erfahre ich von einer Verknüpfung auf c:\windows\web\desktop.htm Diese datei wenn ich lösche ist der Hintergrund komplett weiß, d.h. das "Hintergrundbild ist offensichtlich noch da, aber halt weiß.
Das gesamte Bild ist ein Link zu der Seite www.smart-security.info Auf dieser Seite finde ich aber auch nichts wie ich den Sch* wieder loswerde...
Es ist also offensichtlich eine Art Werbeaktion für irgendeine Security Software....
Achso ja, beide Rechner haben Windows XP drauf. der eine Pro der andere Home Version
Danke für eure Hilfe
Becki
Anzeige
#2
geschrieben 11. Juni 2004 - 13:53
Dieser Beitrag wurde von hans_maulwurf bearbeitet: 11. Juni 2004 - 13:54
#3
geschrieben 11. Juni 2004 - 14:06
Logfile of HijackThis v1.97.7
Scan saved at 15:02:37, on 11.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\DownloadWare\dw.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Antivirus\HijackThis.exe
C:\WINDOWS\system32\ntvdm.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Technologies\main\launchpd.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/132828b8e9708f627122/...RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8149.2470949074
#4 _shelby_
geschrieben 11. Juni 2004 - 14:23
Die hatte ich auch schon mal, als ich mir Icons installiert habe. Fixen!
also in: O2, O4 und O10 , die O16 mit der pl.exe kommt mir auch verdächtig vor.
Dieser Beitrag wurde von shelby bearbeitet: 11. Juni 2004 - 14:28
#5
geschrieben 11. Juni 2004 - 14:41
Zitat
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Aua!
#6
geschrieben 11. Juni 2004 - 15:57
Das Hintergrundbild ist jedoch nach wie vor drauf
Hier das neue Log File nach der Säuberungsaktion
Logfile of HijackThis v1.97.7
Scan saved at 16:48:33, on 11.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\a2\a2guard.exe
C:\Programme\a2\a2start.exe
C:\Programme\a2\a2scan.exe
F:\Antivirus\HiJack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Technologies\main\launchpd.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/132828b8e9708f627122/...RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8149.2470949074
Das mit dieser pl.exe muss ich noch prüfen, aber ansonsten weiß ich auch nicht weiter.
Trotzdem schonmal vielen Dank für die bisherige Hilfe und die hoffentlich noch kommende
Gruß
Becki
#7
geschrieben 11. Juni 2004 - 16:08
#8 _shelby_
geschrieben 11. Juni 2004 - 16:43
Die neue logfile sieht schon viel besser aus. Auf jeden Fall pl.exe prüfen, was das ist.
#9
geschrieben 11. Juni 2004 - 16:45
Zitat
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
Zitat
Zitat
#10
geschrieben 11. Juni 2004 - 16:50
Zitat (´quark oO'2: 11.06.2004, 17:45)
Zitat
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
das ist der automatischer Updater vom Real player
#11
geschrieben 11. Juni 2004 - 16:52
Zitat
QUOTE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
<<< Was ist das ?
Aha das wusst ich nicht ..habe kein Realplayer und nutze ihn auch nicht
Dieser Beitrag wurde von ´quark oO'2 bearbeitet: 11. Juni 2004 - 16:54
#12
geschrieben 11. Juni 2004 - 17:54
das hier sieht nicht gut aus, fixen
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150...RdxIE601_de.cab
das hier ist auch von real player soweit ich weiss... naja würd ich aber auch fixen, da unnötig
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
#13
geschrieben 11. Juni 2004 - 18:22
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#14
geschrieben 11. Juni 2004 - 19:34
Zitat (mb080574: 11.06.2004, 17:08)
schau hier mal nach, da ist das gleiche:
http://www.computer-...pic.php?p=96883
#15
geschrieben 12. Juni 2004 - 19:40
Bingo, das war es. Ich wusste nicht, dass es diesen Active Desktop Quatsch bei XP immernoch gibt. Ist auch ziemlich versteckt wie ich finde.
Danke allen
Gruß
Becki