nicht zu entfernendes Ungeziefer

40Antworten
  1. #1
    Avatar von
    Themen Starter

    Standard nicht zu entfernendes Ungeziefer

    Erst mal Hallo an alle!

    Hab verschiedene Probleme:

    Auf meinem Desktop ist eine Datei, die readme.exe heisst. Ich hab keine Ahnung wie die da hin gekommen ist. Ich kann sie nicht ausführen -> Fehlermeldung. Ich kann sie löschen ->Fehlermeldung. Unter Eigenschaften wird mir angezeigt, dass sie 0 Byte groß ist.
    Was ist das und wie werde ich das los?

    Desweiteren hab ich Trojaner drauf. Immer wenn ich einen Ordner oder Arbeitsplatz öffnen will kommt ein AntiVir Pop-Up und ich mach dann immer delete aber hilft nichts. AntiVir findet auch nichts im Scan. Adaware findet 3 Registrierungseinträge die es löschen kann, die aber auch immer wieder kommen. Hijackthis hat auch ein paar bösartige Einträge die es auch fixen kann aber immer wenn ich neu scanne sind sie wieder da.

    Wäre sehr dankbar für eure Hilfe!

  2. #2
    Avatar von
    Themen Starter

    Standard

    Ach ja noch was der Trojaner hat meinen Desktop blau gemacht mit der Meldung
    "A fatal error has occured in IE at [...] Error was caused by Trojan-Spy.html.smitfraud.c"
    *System can not function in normal mode
    Please check your security settings
    *Scan your PC with any available antivirus/spyware remover program to fix the problem.

    Nach dem das kam war auch eine DesktopVerknüpfung zu einem Programm names PSGuard da, da ich es aber nicht kannte und für Malware hielt hab ich es deinstalliert.

  3. #3
    Avatar von
    Themen Starter

    Standard

    Hast du dein Virenscanner denn auch aktuallisiert?
    Hast du nach dem du die Einträge bei Hijackthis gefixt hast sie auch im abgesichertem Modus gelöscht?

  4. #4
    Avatar von
    Themen Starter

    Standard

    Zitat Zitat von daylifecom
    Hast du dein Virenscanner denn auch aktuallisiert?
    Hast du nach dem du die Einträge bei Hijackthis gefixt hast sie auch im abgesichertem Modus gelöscht?
    AntiVir aktualisiere ich so gut wie täglich.
    Aber ich hab nichts im abgesicherten Modus gelöscht. Hab ich auch noch nie gemacht und Hijackthis hat trotzdem Sachen gelöscht. Wenn ich die Eintröge mit Hijackthis im abgesicherten Modus fixe findet er sie nicht gleich wieder danach aber wie lösche ich die dann?

  5. #5
    Avatar von
    Themen Starter

    Standard

    also die Trojaner bin ich glaube ich über den abgesicherten Modus losgeworden, aber mein Desktop ist immer noch blau und hat die Message drauf. Wenn ich Rechtsklick auf dem Desktop mache habe ich nur noch Bildschirmschoner und Einstellungen.
    und die readme.exe ist auch noch da.....

    Das nervt total, also wenn jemand was weiß, wäre ich sehr dankbar

  6. #6
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    unter folgendem Link findest du eine Anleitung wie du diesen Trojaner vollständig entfernen kannst...


  7. #7
    Avatar von
    Themen Starter

    Standard

    AntiVir aktualisiere ich so gut wie täglich.
    Aber ich hab nichts im abgesicherten Modus gelöscht. Hab ich auch noch nie gemacht und Hijackthis hat trotzdem Sachen gelöscht. Wenn ich die Eintröge mit Hijackthis im abgesicherten Modus fixe findet er sie nicht gleich wieder danach aber wie lösche ich die dann?
    Du musst sie erst Fixen und anschließend erst im Abgeischerten Modus löschen. Aber mit der Anleitung sollte es ja klappen.

  8. #8
    Avatar von
    Themen Starter

    Standard

    Tja die Anleitung hilft mir leider nicht so viel weil alle darin genannten Dateien gar nicht auf meinem PC sind....
    Wie gesagt die Virusmeldungen sind auch weg. Hijackthis log wird mir unter der https://www.hijackthis.de/ als alles sauebr angezeigt.
    Mein Problem ist nur noch dass der Desktop Hintergrund noch immer die blaue Warnmeldung ist. Die kommt anscheinend vom Trojaner selber hab ich irgendwo gelesen.

  9. #9
    Avatar von Nikki
    Nikki ist offline

    Title
    Moderator
    seit
    13.01.2005
    Beiträge
    3.475

    Standard

    Du kannst aber mit einem Rechtsklick die Eigenschaften von deinem Desktop aufrufen? Wenn ja, dann gehe einmal auf Desktop - Desktop anpassen - dann den Reiter "Web" auswählen und dort alle Einträge einmal löschen. Danach den Hintergrund neu einstellen.

    Schöne Grüße
    Nikki

  10. #10
    Avatar von
    Themen Starter

    Standard

    Jo genau so kannste es machen, wenn noch was ist, dann poste einfach.

  11. #11
    Avatar von
    Themen Starter

    Standard

    Zitat Zitat von Brumbator
    Wenn ich Rechtsklick auf dem Desktop mache habe ich nur noch Bildschirmschoner und Einstellungen.
    Das is es eben.... Desktop is da nicht mehr drin in den Eigenschaften von Anzeige. Nur noch diese 2 Sachen eben. Die Readme.exe konnte ich mit KillBox wenigstens löschen

  12. #12
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    verwendest du denn Windows XP? Schon mal an die Systemwiederherstellung gedacht? Oder aber einfach das Setup von der CD starten und reparieren wählen...

  13. #13
    Avatar von
    Themen Starter

    Standard

    Desktop is da nicht mehr drin in den Eigenschaften von Anzeige
    Das kannst du wieder einschalten. Über gpedit.msc aber da müsste dir jemand anders weiterhelfen, weil ich auf der Arbeit momentan nicht auf gpedit zugreifen kann und dir den genaue Pfad nicht sagen kann.

  14. #14
    Avatar von Nikki
    Nikki ist offline

    Title
    Moderator
    seit
    13.01.2005
    Beiträge
    3.475

    Standard

    Öffne einmal mit Start - Ausführen - regedit - die Registry und suche den Eintrag:

    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System

    Wenn dort der Eintrag:

    NoDispBackgroundPage

    dann lösche ihn einmal. Mache aber bitte vorher ein Backup der Registry.

    Schöne Grüße
    Nikki

  15. #15
    Avatar von
    Themen Starter

    Standard

    @Nikki
    leider nicht drin
    @computerdirk
    muss man dafür nicht Wiederherstellungspunkte gemacht haben?

  16. #16
    Avatar von
    Themen Starter

    Standard

    Wiederherstellungspunkte setzt WinXXP eigentlich von selber.

  17. #17
    Avatar von Nikki
    Nikki ist offline

    Title
    Moderator
    seit
    13.01.2005
    Beiträge
    3.475

    Standard

    Dann erstelle einmal den Eintrag als REG_DWORD und setze den Wert auf 1.

    Schöne Grüße
    Nikki

  18. #18
    Avatar von
    Themen Starter

    Standard

    hat auch nichts geändert, auch nicht nach einem Neustart.....
    Wie müsste ich eine Systemwiederherstellung denn angehen. Mal nicht über Systemeigenschaften -> Systemwiederherstellung

  19. #19
    Avatar von Nikki
    Nikki ist offline

    Title
    Moderator
    seit
    13.01.2005
    Beiträge
    3.475

    Standard

    Meinst du jetzt eine Reparatur von der XP-CD?
    Dann musst du zuerst die Bootreiehenfolge ändern und mit der XP-CD starten. Die Auswahl, die dann erscheint, bestätigst du nur mit "Enter". Danach ist alles selbsterklärend. Du musst danach aber das System wieder auf den neuesten Stand bringen.

    Schöne Grüße
    Nikki

  20. #20
    Avatar von
    Themen Starter

    Standard

    ne ich meinte die Sache mit dem Registry-Eintrag.
    Vielleicht hilfts ja was: immer wenn der Bildschirmschoner angeht kommt noch eine Virusmeldung, die ich nicht beseitigen kann.

  21. #21
    Avatar von Nikki
    Nikki ist offline

    Title
    Moderator
    seit
    13.01.2005
    Beiträge
    3.475

    Standard

    Die Registry kannst du mit dem Tool "Erunt" sichern und wiederherstellen.

    https://www.zdnet.de/downloads/prg/v/f/deFFVF-wc.html

    Kannst du dein System einmal durchsuchen nach

    scr.exe
    Mnmpe.scr?

    Schöne Grüße
    Nikki

  22. #22
    Avatar von
    Themen Starter

    Standard

    beide dateien nicht vorhanden

  23. #23
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    also ich würde da nicht lange herumprobieren, sondern direkt von der Windows XP CD booten und eine Reparatur des Betriebssystems mchen. Danach, vor dem ersten Online-gehen, vernünftig mit Antivirensoftware und Firewall absichern und anschließend die nötigen Updates machen...

  24. #24
    Avatar von misskissyou
    misskissyou ist offline

    Title
    Benutzer
    seit
    01.07.2005
    Beiträge
    216

    Standard

    Hi
    Geh doch:
    Start =>Ausführen=>mscongfig=>Dienste=>den Eint´rag entfernen


    Mit freundlichen Grüßen
    misskissyou


    P.S.Kannst du bitte dein Logfile hier reinstellen ??Das wär sehr gut!

  25. #25
    Avatar von Nikki
    Nikki ist offline

    Title
    Moderator
    seit
    13.01.2005
    Beiträge
    3.475

    Standard

    Du kannst auch noch diese Einträge kontrollieren, wenn du möchtest:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run WindowsFY
    <Pfad zum Trojaner>

    Der Troj/FakeAle-A ändert in der Registry folgendes:

    HKCR\CLSID\(145E6FB1-1256-44ED-A336-8BBA43373BE6)InprocServer32
    <Pfad zum vorherigen Hintergrund>

    den Eintrag löschen

    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
    NoActiveDesktopChanges
    1

    diesen Wert auf auf 0 ändern

    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
    NoDispAppearancePage
    1

    diesen Wert auf 0 ändern

    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
    NoDispBackgroundPage
    1

    diesen Wert auf 0 ändern

    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
    Wallpaper
    C:\WP.BMP

    diesen Eintrag löschen

    HKCU\Control Panel\Colors
    Background
    0 0 0

    was hier eingetragen ist, spielt keine Rolle

    HKCU\Control Panel\Desktop
    Wallpaper
    C:\WP.BMP

    diesen Eintrag löschen

    HKCU\Control Panel\Desktop
    WallpaperStyle
    0

    was hier eingetragen ist, spielt keine Rolle

    Wenn das auch nicht hilft, dann bleibt dir tatsächlich nur noch die Reparatur.

    Schöne Grüße
    Nikki

  26. #26
    Avatar von
    Themen Starter

    Standard

    Also ich würde Dirk zustimmen... Reperatur über WinXP Setup-CD

  27. #27
    Avatar von
    Themen Starter

    Standard

    also ich hab das mit dem Desktop in den Griff bekommen, ein ominöses wo.jpg gelöscht und einen Ordner names !Submit der auf C: war, in dem der gesamte Inhalt meines Desktops war auch erst mal verschoben und dann auch gelöscht. Das einzigste was jetzt noch nicht stimmt ist wenn ich Rechtsklick auf dem Destop mache werden mir in den Anzeigeeigenschaften nur noch 3 Reiter angezeigt: Desktop, Bildschirmschoner und Einstellungen. Anpassen fehlt zum Beispiel

  28. #28
    Avatar von
    Themen Starter

    Standard

    Dann mach mal folgendes:

    Start -> Ausführen -> gpedit.msc

    Dort unter

    Benutzerkonfiguration -> Administrative Vorlagen -> Systemsteuerung -> Anzeige

    einen Doppelklick auf Registerkarten "Darstellung" und "Design" ausblenden

    und auf nich konfiguriert setzen oder auf deaktiviert. Dann sollten die Reiter wieder da sein.

  29. #29
    Avatar von
    Themen Starter

    Standard

    Vielen Dank, daylifecom! hat funktioniert!!

  30. #30
    Avatar von
    Themen Starter

    Standard

    Nachdem ich jetzt wieder beim Öffnen jedes Programms AntiVir Meldungen kriege ist hier mal meine log file:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:31:50, on 13.07.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.t-online.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: AVGNT.EXE.lnk = C:\Programme\AVPersonal\AVGNT.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D36A178C-74FD-4364-9145-50C158C0295E}: NameServer = 217.237.150.141 217.237.150.97
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

  31. #31
    Avatar von El Supremo
    El Supremo ist offline

    Title
    Benutzer
    seit
    18.01.2005
    Ort
    Ilsfeld, Lkr. Heilbronn, BW
    Beiträge
    1.552

    Standard

    das logfile ist-jedenfalls nach der automatischen auswertung-vollkommen sauber.
    wie lauten die meldungen denn genau?

  32. #32
    Avatar von
    Themen Starter

    Standard

    C:\WINDOWS\SYSTEM32\OLEADM.DLL

    Is the Trojan horse TR/Agent.FF

    So zum Beispiel, sind aber immer andere, Adaware, Spybot und a² finden nichts....

  33. #33
    Avatar von Nikki
    Nikki ist offline

    Title
    Moderator
    seit
    13.01.2005
    Beiträge
    3.475

    Standard

    Hast du das Microsoft Removal-Tool schon drüberlaufen lassen?

    https://www.microsoft.com/security/malwa ... fault.mspx


    Hier ist auch noch eine Anleitung, den Trojaner zu entfernen:

    https://forum.hijackthis.de/newreply.php ... ply&t=5195

    Schöne Grüße
    Nikki

  34. #34
    Avatar von
    Themen Starter

    Standard

    C:\Windows\System32\wldr.dll

    Troj/FakeAle-D

    Troj/FakeAle-D, ein Windows-Trojaner, verfügt über die Fähigkeit zum Verändern von Browser-Einstellungen und zum Anzeigen gefälschter Meldungen als Windows-Desktop-Hintergrundbild. Das Bild zeigt einen blauen Bildschirm und folgenden Text:

    Security warning

    A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) +
    00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

    * System can not function in normal mode.
    Please check you security settings.
    * Scan your PC with any avaliable antivirus / spyware remover
    program to fix the problem.

    Sobald Troj/FakeAle-D installiert ist, werden folgende Dateien erstellt:

    <System>\wldr.dll
    <Root>\wp.bmp
    <Root>\wp.exe
    Ich schätze, dass ich genau den hatte, aber keine der 3 Dateien ist mehr da....
    Und die Virusmeldungen häufen sich so wie auch im anderen Thread beschrieben

  35. #35
    Avatar von
    Themen Starter

Benutzer, die dieses Thema gelesen haben: 0

Derzeit gibt es keine Benutzer zum Anzeigen.
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz