Desktophintergrund verändert nach Internetbenutzung!

Servus,

meine Freundin war gestern im Internet und hat auf einer Seite so ein Werbefenster gehabt, allerdings ohne das übliche Fenster schliessen um es zu deaktivieren! Sie hat es wohl angeklickt und daraufhin veränderte sich unser Desktophintergrund von Farbe blau in ROT und das Werbefenster ist jetzt mittig zentriert auf unserem Desktop.
Schwarzer Hintergrund, es blinkt in fetter roter Schrift
DANGER SPYWARE

In der Mitte steht:
-Full system scan results
-3 Spyware infections
-27 Spyware tracks
-95 Adult oriented websites tracks
-3 Programs with porbable keylogging activity

Windows recommends you the following software products to keep your Pc safe

Unten links und rechts in dem Fenster ist je ein Button mit:

RAZESPYWARE
for as low as $49,95
demo direct download

Zudem hatte sich eine Datei auf dem Desktop installiert, die mit Karnival anfing?! Haben wir leider in der ersten Panik gelöscht, deshalb fehlen genauere Angaben!

Habe AntiVir, Adaware, Tweak Power und YAW angewendet, aber leider ist es immer noch da!

Wie kriegen wir den Scheiß (sorry) wieder runter, und was ist das für ein Programm! Ist Internetbanking damit gefährdet??

Danke für die Unterstützung

 

Wo hat sie sich denn wieder rumgetrieben? ;-)

Da gibts viele Möglichkeiten, wie man einen Desktophintergrund verankern kann, der sich auch nach Umstellen auf dem normalen Wege dann immer wieder selbst installiert.

Auf keinen Fall Geld dafür bezahlen. Es ist eine üble Form von Erpressung.

Schau Dich hier im Forum um, wie Du ein Testergebnis von Hijackthis hier veröffentlichen kannst. Danach gibts sicher einige, die das dann kommentieren werden und Hinweise für die Beseitigung geben. (Bitte nicht den kompletten Text vom Logfile hier als Posting absetzen, sondern nur einen Link dorthin)

Nachdem aber zZt eben die Kiste gekapert ist, läßt sich nicht abschätzen, ob da zB auch Tastatureingaben gespeichert werden. Der PC ist also solange vom Internet zu separieren, wie nicht alles wieder im Lot ist. Also ganz bestimmt auch kein I-Net-Banking damit betreiben!

MfG Raberti

 

Habe Hijackthis ausgeführt. Bitte gebt mir mal ne Info, was gelöscht werden muß. Bitte auch, wie ich es dann durchführen muß, da nicht so Compi-erfahren.

Hier nun der Link zur Auswertung:
www.hijackthis.de/logfiles/067573be0504ccc5c2599648db18d19a.html



Vielen Dank

 

Hallo,
beende mal diesen Prozess: C:\WINNT\24B3.exe im Taskmanager, überprüfe die zugehörige Datei hier und poste das Ergebnis.

Außerdem scannst du dein System mal mit F-Secure Blacklight und postest das Log (wird im selben Pfad nach dem scan automatisch erstellt),


Grüße Jasager

 

Öhh, habe den Prozeß C:\WINNT\24B3.exe beendet, und checken lassen. War aber alles ok, wurde kein Virus gefunden.
Habe die Datei gelöscht, da ich Sie erst nach dem Befall geladen habe!

Habe F-Secure Blacklight Beta(richtig oder?) laufen lassen, aber es wurden keine Hidden Items gefunden!

Und nu?

 

Hallo,
fixe mal folgende Einträge:
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - hxxp://deposito.hostance.net/dialer/1064481.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FD10438-127C-4B71-9103-1B291DCC9531}: NameServer = 85.255.116.56,85.255.112.146

und poste danach ein neues HijackThis Log.

Lösche danach alle Temp-Dateien mit Cleanup! und mache dann folgendes und poste die vier Logfiles, aber nur die Dateien der letzten drei monate abkopieren.


Grüße Jasager

 

Hallo,

die Maschine nochmal mit Kaspersky-Signaturen überprüfen, das AntiVir zusammen mit ZoneAlarm kannst du vergessen..

Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

Direkt-Download:
ftp://ftp.microworldsystems.com/download/tools/mwav.exe

 

Teil 1 erledigt, here it is:
www.hijackthis.de/logfiles/4193073d838b3aa8b2a26318a6de6fa0.html

Teil 2 Clean up erledigt!
Teil 3 Datfind.bat Was ist der Thread im Sicherheitsbereich? Wohin soll ich das kopieren?
Kannste mir genauer sagen was ich machen soll??

 

Hallo,
die Herstellerin der Seite hat die Anleitung für ihr Stammforum geschrieben, dort heißt es Sicherheitsbereich. Du sollst die Logs natürlich hier rein posten damit ich sie mir anschauen kann. Sonstiger Ablauf ist aber klar, oder?


Grüße Wildone

 

Habe den Direkt Download genommen. Er hat mir 4 Viren angezeigt. Kann Sie allerdings nur in der Vollversion löschen!
Gibt es noch ne andere einfache Möglichkeit?

Dieses wurde gefunden:
Object "smitfraud variant Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINNT\desktop.html infiziert von "not-virus:Hoax.Win32.Aflac.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINNT\system32\idownload.exe infiziert von "Trojan-Downloader.Win32.Small.buy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File C:\WINNT\system32\rzspy.exe markiert als "not-a-virus:AdWare.Win32.Raze.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

 

Hallo,
klar, die können wir gleich manuell löschen, das ist kein größeres Problem. Aber deine Variante ist relativ neu, deswegen würde ich dich gerne etwas gründlicher durchleuchten. Bekommst du das noch hin mit der datfind.bat?


Grüße Jasager

 

Ah jetzt ja eine Insel ;-) Kapische.

Verzeichnis von C:\WINNT\system32

01.02.2006 22:25 35.995 vsconfig.xml
31.01.2006 17:59 302.621 SetupCarnival.exe
31.01.2006 17:59 705 dgprpsetup.exe
31.01.2006 17:59 49.169 idownload.exe
31.01.2006 17:58 8.329 rzspy.exe
31.01.2006 17:58 3.072 howiper.exe
29.11.2005 12:49 246.272 ConnAPI.dll
28.11.2005 09:08 115.712 DAAPI.dll
26.11.2005 11:59 4.212 zllictbl.dat
24.11.2005 10:53 110.592 NclAPI.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
Verzeichnis von C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp

02.02.2006 00:50 364.287 MWAV.LOG
02.02.2006 00:50 1.107 mwXface.log
02.02.2006 00:40 241.664 MYDB.DLL
02.02.2006 00:30 233.562 MSI3f49a.LOG
02.02.2006 00:30 668 MSI233f7.LOG
02.02.2006 00:29 233.562 MSI2df80.LOG
02.02.2006 00:28 668 MSI233f6.LOG
01.02.2006 22:45 2.048.000 Acr4.tmp
01.02.2006 22:45 0 Acr3.tmp
27.01.2006 16:54 56.035 daily.avc
27.01.2006 16:54 12.609 avp.klb
27.01.2006 15:23 378.944 mwavscan.com
27.01.2006 15:14 70.930 unp016.avc
27.01.2006 15:14 50.834 troj014.avc
27.01.2006 15:14 101.713 troj005.avc
27.01.2006 15:14 32.771 krnexe.avc
27.01.2006 15:14 2.695 daily-ex.avc
27.01.2006 15:14 65.632 base086.avc
25.01.2006 17:12 47.067 unp031.avc
24.01.2006 13:58 61.965 unp014.avc
23.01.2006 17:26 131.822 Spyware.sdb
23.01.2006 17:26 388.444 Dir.sdb
23.01.2006 17:26 1.665.608 File1.sdb
23.01.2006 17:26 610.248 Cid.sdb
23.01.2006 17:26 152.201 spydb.old
23.01.2006 17:26 152.201 spydb.avs
23.01.2006 17:26 117.982 File2.sdb
22.01.2006 17:48 49.521 base085.avc
22.01.2006 17:48 31.960 base070.avc
22.01.2006 17:48 50.019 base071.avc
22.01.2006 13:10 92.007 krnunp.avc
22.01.2006 13:10 92.569 krnmacro.avc
22.01.2006 13:10 21.836 fa.avc
22.01.2006 13:10 19.326 ext999.avc
22.01.2006 13:10 7.984 ext006.avc
22.01.2006 13:10 50.048 base075.avc
22.01.2006 13:10 49.831 base076.avc
21.01.2006 18:36 339.968 esupdate.exe
21.01.2006 17:59 122.880 msvlclnt.dll
21.01.2006 17:57 42.048 Getvlist.exe
19.01.2006 18:16 83.901 virus016.avc
19.01.2006 18:16 51.739 worm003.avc
19.01.2006 18:16 49.083 ext001.avc
19.01.2006 18:16 50.479 base078.avc
19.01.2006 18:16 49.555 base077.avc
19.01.2006 18:16 50.124 base073.avc
19.01.2006 18:16 49.895 base074.avc
19.01.2006 18:16 50.070 base072.avc
19.01.2006 18:16 1.731 avp.set
18.01.2006 18:30 58.126 German.Age
18.01.2006 18:30 58.126 language.ini
18.01.2006 18:03 10.769 unp000.avc
18.01.2006 18:03 57.806 unp013.avc
18.01.2006 11:43 6.025 Polish.dow
18.01.2006 11:36 48.155 Polish.Age
17.01.2006 12:32 4.145 Chinese.dow
17.01.2006 12:32 5.392 Finnish.dow
17.01.2006 12:32 5.854 French.dow
17.01.2006 12:32 5.852 Spanish.dow
17.01.2006 12:32 5.839 Spanishl.dow
17.01.2006 12:32 5.457 Romanian.dow
17.01.2006 12:32 5.796 Portuguese.dow
17.01.2006 12:32 5.479 Italian.dow
17.01.2006 12:32 5.609 Download.lan
17.01.2006 12:32 5.609 German.dow
17.01.2006 11:16 491.520 Download.exe
17.01.2006 11:07 5.194 English.dow
16.01.2006 17:55 49.649 unp029.avc
16.01.2006 17:55 55.162 unp030.avc
16.01.2006 17:55 49.621 unp028.avc
16.01.2006 17:55 46.352 unp027.avc
16.01.2006 17:55 50.640 unp026.avc
16.01.2006 17:55 48.234 unp025.avc
16.01.2006 17:55 31.203 gen004.avc
13.01.2006 16:33 13.830 German.con
13.01.2006 16:33 13.830 config.lan
13.01.2006 15:37 48.142 Spanishl.Age
13.01.2006 15:35 48.403 Spanish.Age
13.01.2006 14:09 42.376 English.Age
12.01.2006 00:36 73.425 unp002.avc
11.01.2006 17:21 49.892 ext005.avc
10.01.2006 15:53 49.935 base084.avc
10.01.2006 15:53 49.868 base083.avc
09.01.2006 13:36 70.244 ca.avc
05.01.2006 17:38 340.480 MWAVReg.EXE
05.01.2006 15:12 98.816 MWAVL.exe
03.01.2006 13:12 47.527 Portuguese.Age
03.01.2006 02:31 49.909 base082.avc
03.01.2006 01:38 2.711 mwav.ini
02.01.2006 14:48 7.850 Chinese.con
02.01.2006 14:48 10.559 Finnish.con
02.01.2006 14:48 11.729 Polish.con
02.01.2006 14:48 11.462 French.con
02.01.2006 14:48 10.866 Spanish.con
02.01.2006 14:48 10.884 Spanishl.con
02.01.2006 14:48 10.528 Romanian.con
02.01.2006 14:48 11.380 Portuguese.con
02.01.2006 14:48 10.015 Italian.con
01.01.2006 18:51 10.181 English.con
01.01.2006 17:40 77.379 virus012.avc
01.01.2006 17:40 50.725 unp001.avc
01.01.2006 17:40 54.541 unp003.avc
01.01.2006 17:40 61.884 unp005.avc
01.01.2006 17:40 56.594 troj022.avc
01.01.2006 17:40 50.197 troj020.avc
01.01.2006 17:40 14.254 mail.avc
01.01.2006 17:40 6.313 smart.avc
01.01.2006 17:40 50.875 krnexe32.avc
01.01.2006 17:40 48.017 ext003.avc
01.01.2006 17:40 47.828 ext004.avc
01.01.2006 17:40 50.429 base080.avc
01.01.2006 17:40 50.680 base081.avc
01.01.2006 17:40 50.160 base079.avc
01.01.2006 17:40 49.303 base005.avc
29.12.2005 20:02 1.008 000E11D4.key
29.12.2005 20:02 1.028 000E11D5.key
26.12.2005 17:11 27.111 unp004.avc
26.12.2005 17:11 48.048 ext002.avc
23.12.2005 17:55 36.112 Chinese.Age
23.12.2005 17:55 45.078 Finnish.Age
23.12.2005 17:55 47.920 French.Age
23.12.2005 17:55 44.019 Romanian.Age
23.12.2005 17:55 55.627 Italian.Age
21.12.2005 21:37 93.982 troj031.avc
20.12.2005 18:02 78.450 virus011.avc
18.12.2005 06:01 363.520 viewtcp.exe
18.12.2005 05:54 1.694 English.tcp
17.12.2005 13:55 99.916 troj009.avc
12.12.2005 15:41 48.372 base006.avc
12.12.2005 15:41 63.298 base007.avc
09.12.2005 13:42 80.084 unp019.avc
07.12.2005 18:23 50.388 troj016.avc
07.12.2005 16:39 51.435 troj025.avc
06.12.2005 14:30 36.526 virus020.avc
05.12.2005 11:35 100.027 troj007.avc
04.12.2005 14:53 1.737 German.tcp
04.12.2005 14:53 1.737 ViewTcp.lan
01.12.2005 14:45 1.841 Polish.tcp
25.11.2005 17:29 1.718 Spanish.tcp
25.11.2005 17:29 1.718 Spanishl.tcp
25.11.2005 17:25 1.895 Portuguese.tcp
25.11.2005 17:24 1.718 Italian.tcp
25.11.2005 17:23 1.886 French.tcp
25.11.2005 17:19 1.750 Finnish.tcp
23.11.2005 22:25 37.093 unp012.avc
18.11.2005 19:32 29.097 unp021.avc
18.11.2005 19:32 44.623 unp018.avc
18.11.2005 19:32 28.752 krnengn.avc
18.11.2005 19:32 14.008 kernel.avc
18.11.2005 12:01 7.187 Polish.lic
17.11.2005 13:10 62.198 unp015.avc
10.11.2005 15:11 34.528 unp024.avc
10.11.2005 15:11 81.196 unp007.avc
10.11.2005 15:11 56.430 unp006.avc
07.11.2005 16:36 73.725 virus003.avc
07.11.2005 16:36 109.301 troj003.avc
02.11.2005 13:21 113.508 krn001.avc

Verzeichnis von C:\WINNT

02.02.2006 00:43 26 Lic.xxx
01.02.2006 22:29 8.086 fsbwinst.log
01.02.2006 22:29 5.294 Q-Klez.log
01.02.2006 22:24 1.232.148 WindowsUpdate.log
01.02.2006 15:52 32.556 SchedLgU.Txt
01.02.2006 15:49 31 warhead.ini
01.02.2006 01:12 689.023 setupapi.log
31.01.2006 17:58 2.116 desktop.html
27.01.2006 22:48 123.638 wmsetup.log
18.01.2006 13:05 36.363 CSTBox.INI
16.01.2006 12:29 3.318 tm.ini
18.12.2005 14:29 945 cdplayer.ini
17.12.2005 14:10 62.991 comsetup.log
17.12.2005 14:10 95.448 iis5.log
17.12.2005 14:10 1.448 imsins.log
17.12.2005 14:10 6.245 KB893803v2.log
17.12.2005 14:10 30.148 ocgen.log
17.12.2005 14:10 2.168 ockodak.log
17.12.2005 14:10 5.476 KB842773.log
17.12.2005 14:10 110.256 setupact.log
16.12.2005 13:39 19 SoundConverter.INI
16.12.2005 12:16 114 tdf.dii
24.11.2005 23:48 516 MAXLINK.INI

Verzeichnis von C:\

02.02.2006 01:05 0 sys.txt
02.02.2006 01:04 5.937 system.txt
02.02.2006 01:02 13.312 systemtemp.txt
02.02.2006 01:01 94.800 system32.txt
02.02.2006 00:50 0 23990098.$$$
02.02.2006 00:50 4 AVPCallback.log
01.02.2006 22:24 805.306.368 pagefile.sys
20.12.2005 12:17 332 PCSuiteCleanerLogFile_12-20-2005_121730.txt
20.12.2005 12:17 1.327 PCSuiteCleanerLogFile_12-20-2005_121642.txt
24.11.2005 23:36 6.669.312 s5702dex.exe
01.11.2005 12:51 1.073 INSTALL.LOG

 

"Smitfraud" ist hartnäckig, da hilft auch HiJackThis wenig. Merkst du jetzt den Unterschied zwischen AntiVir und Kaspersky ..

Jetzt hast du die infizierten Dateien, die kannst du versuchen zu löschen. Am besten im Abgesicherten Modus booten und versuchen zu löschen. Geht das nicht dann mit dem Misc-Tools von HiJackThis zur Bootzeit löschen.

 

Hallo,
holla die Waldfee, da hat Escan ja einiges übersehen (irgendwie finde ich in letzter Zeit allgemein das Kaspersky etwas nachläßt). Überprüfe diese Dateien:
C:\Windows\System32\SetupCarnival.exe
C:\Windows\System32\vsconfig.xml
C:\Windows\System32\dgprpsetup.exe
C:\Windows\System32\howiper.exe

hier und poste die jeweiligen Ergebnisse.

@Wolfgang77
*lol* So kann man beim selben Ergebnis unterschiedlicher Meinung sein.

Grüße Jasager

 

Öhh, liegt es an der Zeit oder warum krieg ich das jetzt nicht hin?
Bin bei Virus total auf Durchsuchen gegangen, finde den Pfad aber nicht ;-( und wenn ich dann auf die Datei System 32 gehe zeigt er mir an:
File size can't be more than 10 Megabytes.
You can't try compressing it.
Thanks you.

<< Go back

Grübel, grübel

 

Hallo,
nimm folgende Einstellungen vor:
im Explorer unter Extras>>Ordneroptionen>>Ansicht
Haken raus bei geschützte Systemdateien ausblenden, Haken rein bei Inhalte von Systemordnern einblenden, und bei Versteckte Dateien und Ordner "alle anzeigen" anhaken.
Funktioniert es jetzt?


Grüße Jasager

 

Heidewitzka nochma,
habe die Einstellungen geändert, aber keine Verbesserung.
Gib mir nochmal die einzelnen Schritte, wie ich an die Dateien komme.

Thanx

 

Hallo,
also eigentlich sollte es ganz einfach sein, bin jetzt selbst etwas verwirrt. Normalerweise einfach z.B. diesen Pfad:
C:\WINNT\System32\SetupCarnival.exe entlangklicken dann auf send und fertig.
Kommst du ev. bei dieser Seite besser klar (obwohl das Prinzip eigentlich das selbe ist)?


Grüße Jasager

 

Datei, die hochgeladen und gescannt werden soll:
Dienst
Puh, geht doch, ich dacht schon ich wäre total blond geworden ,-)! Der 2. Link funkt!
Datei: SetupCarnival.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Adware.Casino gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Adware.Casino gefunden

Auslastung: 0% 100%

Datei: vsconfig.xml
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Auslastung: 0% 100%

Datei: dgprpsetup.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: FSG

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Auslastung: 0% 100%

Datei: howiper.exe
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Nun Dein Urteil?

 

Hallo,
ich bin baff, eigentlich bin ich mir zu 99% sicher das es sich bei allen Dateien um Malware handelt. Ich habe noch einen letzten Anschlag auf dich vor bevor wir die Dateien löschen, und zwar versendest du mal die Dateien (außer der vsconfig.xml, ich glaube die gehört doch zu Zonealarm) wie hier beschrieben (also gepackt mit Passwort usw.) an newvirus@kaspersky.com und postest mal die Antwort.
Dann besorgst du dir killbox und löschst damit folgende Dateien on reboot:
C:\WINNT\System32\SetupCarnival.exe
C:\WINNT\System32\dgprpsetup.exe
C:\WINNT\System32\howiper.exe
C:\WINNT\System32\idownload.exe
C:\WINNT\System32\rzspy.exe
C:\WINNT\desktop.html

Dann unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag "Security Info" oder ähnliches entfernen.
Dann sollte man wieder den Desktop ganz normal verstellen können.
Werde das heute nicht mehr gegenchecken können weil ich jetzt ins Bett gehe, schaue es mir dann morgen an, oder Wolfgang77 macht weiter.


Grüße Jasager