Desktop-Problem nach Trojaner-Befall !

Hallo!

Ich habe gestern einen riesen Fehler gemacht. Habe über ICQ von einem mir unbekannten Teilnehmer eine sogenannte Postcard bekommen. Diese hab ich dann dummerweise geöffnet.

Sofort sprach mein Antivirenprogramm an. Hatte dann mehrere Trojaner und Scherzprogramme drauf. Hab dann mit meinem Antivir, mit Spybot S+D, mit HijackThis, mit Ad-Aware SE und mit CWShredder alles so weit wieder entfernt bekommen (hoffe ich jedenfalls).

Das einzigste, was jetzt Probleme macht, ist der Desktop. Statt meinen üblichen Hintergrund bei Windows XP (Grüne Idylle) hab ich plötzlich nur einen dunkelblauen Hintergrund mit einem ca. 8 x 5 cm großen Fenster mit der englischen Schrift in Rot "Spyware Infection" und noch Text drunter. In dem Text wird mir mitgeteilt, daß mein PC spywareverseucht ist und ich doch bitte ein Antispywaretool einsetzen soll. Dieses Fenster ist beständig im Hintergrund geöffnet.

Habe schon alles mögliche versucht, um den Hintergrund zu ändern. Aber was ich auch einstelle, es bleibt bei dem dunkelblauen mit diesem Fenster.

Wie ich schon sagte, habe Windows XP Professionell.

Die Logdatei von HijackThis hänge ich mal hier an. Konnte dort aber nix auffälliges mehr entdecken.

Ich hoffe, mir kann jemand helfen!

 

warum machst du nicht die auswertung auf der Hjack - seite und postest den Link?

mfg
edit:

http://www.hijackthis.de/logfiles/9bdcd0b73eb476236c0cdc272989053f.html

was ist das?
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINXP\System32\E_S5D.tmp"

 

Immerhin besser, als wenn er das komplette Log gepostet hätte. Wenn jemand das Log als Textdatei an seinen Beitrag anhängt, ist das auch in Ordnung.

 

Ich denke mal, du meintest diesen Link:

http://www.hijackthis.de/logfiles/30a2441c62f1c987921ac229e671d1e6.html

Und die beiden Dateien, die du angesprochen hast, gehören zu meinem Drucker, einem Epson Stylus C 42 UX.

 

Hallo,
mal auf Verdacht (in deinem Logfile ist nichts zu erkennen), besorge dir mal dieses Tool entpacke es.
Dann das Tool im abgesicherten Modus(F8 beim booten) laufen lassen und dann die Datei C:\smitfiles.txt posten.


Grüße Jasager

 

Evtl. geht es mit Wallpaper Hijack Remover 3.0. Download unter: http://www.ieshell.com/dl.html .
Die Testversion von The Cleaner sollte auf jeden Fall helfen. Download unter: http://www.moosoft.com/products/cleaner/

 

Vielen Dank an alle für die Ratschläge!

Habe aber mittlerweile selber das Problem gefunden!

Hatte heute noch mal Spybot S+D laufen lassen. Und plötzlich wurde mir vom Programm angezeigt, daß ich da in meinen "Program Files" einen Ordner namens "Spy Sherrif" hatte. Diesen Ordner hab ih komplett gelöscht und dann war da noch eine Registry-Eintragung von dem und noch eine Einzeldatei. Diese veiden Sachen hab ich dann über Spybot gelöscht.

Und schon war das Problem behoben. Jetzt hab ich wieder den normalen Hintergrund und kann auch wieder alles einstellen!

 

hi, ich hab seit gestern abend GENAU DAS GLEICHE Problem...hab auch diesen spysheriff gelöscht und krieg den hintergrund trotzdem nicht geändert...wo ist denn die reg datei dazu zum löschen? oder wie find ich alles was damit zusammenhängt, damit ich das auch löschen kann???

 

Hallo,
besorge dir mal dieses Tool entpacke es.
Dann das Tool im abgesicherten Modus(F8 beim booten) laufen lassen(doppelklicke die runthis.bat) und dann die Datei C:\smitfiles.txt posten.



Grüße Jasager

 

Hey, ich habe genau diesen fehler gestern auch gemacht. Und ich habe auch genau die selben probleme wie du. Ich komme einfach nicht weiter. Habe schon überlegt meine festplatte zu löschen und windows neu drauf zu spielen, weiss aber nicht ob es was nützt.

 

Hallo,
hast du es mal mit dem vorgeschlagenen Tool versucht? Wee ja das Logfile (C:\smitfiles.txt) posten.


Grüße Jasager

 

hi,
stelle mich mit dem Problem dann mal hinten an,

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm

hier mein smitfiles.txt

smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

desktop.html


~~~ Drive root ~~~

winstall.exe

~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

desktop.html


~~~ Drive root ~~~

winstall.exe


~~~ Miscellaneous Files/folders ~~~



winstall.exe

~~~ Wininet.dll ~~~

wininet.dll is missing!!

desktop.html und winstall.exe hab ich nicht gefunden. hab meine ordneransicht schon angepasst aber ich find die dateien nicht!!

hier der text von
panda active scan

Adware:adware/secure32 Not desinfected Windows Registry
Possible Virus. Not desinfected D:\Tools\AnyDVD 4.2.4.2\AnyDVD\AnyDVD 5.2.4.2 Loader.exe

MfG und danke

Wolf

 

Hallo,
die müßten aber da sein, hast du smitrem im abgesicherten Modus (F8 beim booten) ausgeführt? Poste mal noch zusätzlich einen Link zu deinem HijackThis Log wie hier beschrieben.


Grüße Jasager

 

also ich find die dateien nicht!!
ja mit f8 beim neustart im abgesicherten modus.
das proggi hab ich über sys steuerung deinstalliert.
die drei runden kreise mit dem roten x sind auch aus der taskleiste verschwunden.

nur beim starten des inet explorer verweist er immer auf o.a. datei...

hier der hijackthis text:

http://www.hijackthis.de/logfiles/07a6100fe31d86e0c28db33152b3e109.html

MfG und danke
Wolf

 

Hallo,
ich hatte doch extra Link geschrieben, und die Anleitung zu HijackThis ist doch auch nicht zweideutig formuliert, wo ist das Problem? Also editiere deinen Beitrag und poste das HijackThis Log als Link zu deiner Auswertung.
*erledigt*


Grüße Jasager

 

sorry, da waren die finger wieder schneller wie der verstand

habs korrigiert

mfg
wolf

 

Hallo,
erstmal nimmst du, falls noch nicht geschehen, folgende Einstellungen vor. Dann gehst du in den abgesicherten Modus und fixt(Haken davor und auf fix checked) mit HijackThis folgende Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Dann löschst du folgende Dateien:
c:\secure32.html
C:\Windows\desktop.html
C:\winstall.exe

Dann meldest du dich wieder ob alles funktioniert hat.


Grüße Jasager

 

sorry aber die dateien hab ich nicht gefunden.

der IE lässt sich aber wieder problem starten.

vielen dank für die professionelle hilfe!!!!!

mfg und danke
wolf

 

Hallo,
naja, da Panda die Dateien auch nicht findet sollte es wohl in Ordnung sein. Zukünftig Finger weg von Cracks und Keygens, bzw. von Seiten wo man diese bekommt.
Außerdem solltest du unbedingt dein System patchen, das ist noch total jungfreudig, also SP2 einspielen +alle weiteren Updates.


Grüße Jasager

 

sp2 geht nicht, denke du weisst warum

und ich wollt eigentlich nur für gtr die n-schleife runterladen... so ein mist aber auch

mfg und danke
wolf