Spy Marshal eingefangen

Hallo habe mir einen "Spy Marshal" eingefangen.
Nun kann ich mein bildhintergrund nicht mehr verändern. Mit Hijackthis habe ich den Spy wohl schon weg. Er taucht auf denfall nicht mehr auf.
Aber wie kann ich den Hintergrund wieder verstellen. Das progi
hat mir eine blaue Fläche hinter lassen.

Kennt jamand das problem und kann mir helfen

Danke schon mal

Jbl

 

Was war den vorher für ein Hintergrund?


Sicher das alles weg ist?

 

hatte vorher ein Bild was ich fotografiert habe als Hintergrund gehabt. Wenn ich auf Eigenschaften vom Desktop gehe dann kann ich den Hintergrund nicht ändern.

 

Der Reiter "Desktop" funktioniert nicht mehr?

 

Was heißt der Reiter? Wenn du meinst das ich keine Hintergrund Bilder mehr ändern kann ( Anzeige von Eigenschaften- Desktop) dann ist das richtig.
der Marshal muß etwas in der Reg. verändert haben.

 

Start->Ausführen-Gpedit.msc
Dann da hin.



Sieht das so aus bei dir?

 

komme so leider nicht dahin. Nimmt bei mir Gpedit.msc nicht an.
Habe Xp Sp.2

 

XP Home? Weiss nich ob das da auch so geht. Habe pro.

 

Hast wahrscheinlich eine Home Edition von Win XP, die hat solche Annehmlichkeiten nicht.
Schaue einmal hier:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System

ob es da sowas gibt wie
NoDispBackgroundPage

sollte auf den Wert "0" gesetzt werden.

 

Genau Home Xp.
Nein leider nicht. Das hilft auch nicht schade.

 

Dann führe einmal diese Reg.-Datei aus:

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern

dann erscheint eine smitfraud.reg auf dem Desktop
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "smitfraud.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.

 

mache ich mal. Habe gerade festgestellt, das das alte Hintergrundbild beim runter fahren kurz da ist.

 

Hat geklappt. Danke Danke
Aber wo dran hat es denn jetzt gelegen?? oder welche Eintragung wurde geändert.

Cu
Danke fürdie schnelle und gute Hilfe

Gruß Jbl

 

Hallo
will mir noch mal ganz sicher sein ob auch alles weg ist von dem Marshal.
Habe das Progi SmitRem mal laufen lassen.
Nur leider weiß ich nicht wie ich den Logfile auswerten kann.
Kann mir mal einer dabei helfen.
Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

XP Firewall allowed access

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*isabled:Microsoft DirectPlay8 Server"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"D:\\Programme\\TightVNC\\WinVNC.exe"="D:\\Programme\\TightVNC\\WinVNC.exe:*:Enabled:TightVNC Win32 Server"
"D:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="D:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"D:\\Programme\\ReGetDx\\regetdx.exe"="D:\\Programme\\ReGetDx\\regetdx.exe:*isabled:ReGet 4.1a"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Programme\\Skype\\Phone\\Skype.exe"="D:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present
AntiVermins uninstaller NOT present
VirusBursters uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 820 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~



~~~ Wininet.dll ~~~

wininet.dll is missing!!

Danke schon mal

Gruß Jbl
.

 

Lade dir die Registry-Datei in den Editor dann siehst du was geändert wird. Einträge die das Spyware-Programm angelegt hat werden gelöscht und andere veränderte Einträge wieder auf Standard gesetzt.

Die Dateien solltest du nicht löschen, gehören zum Betriebssystem .. irgendwelche Multmedia-Geschichten.

amcompat.tlb
nscompat.tlb