nicht zu entfernendes Ungeziefer

06.07.2005, 11:59

Erst mal Hallo an alle!

Hab verschiedene Probleme:

Auf meinem Desktop ist eine Datei, die readme.exe heisst. Ich hab keine Ahnung wie die da hin gekommen ist. Ich kann sie nicht ausführen -> Fehlermeldung. Ich kann sie löschen ->Fehlermeldung. Unter Eigenschaften wird mir angezeigt, dass sie 0 Byte groß ist.
Was ist das und wie werde ich das los?

Desweiteren hab ich Trojaner drauf. Immer wenn ich einen Ordner oder Arbeitsplatz öffnen will kommt ein AntiVir Pop-Up und ich mach dann immer delete aber hilft nichts. AntiVir findet auch nichts im Scan. Adaware findet 3 Registrierungseinträge die es löschen kann, die aber auch immer wieder kommen. Hijackthis hat auch ein paar bösartige Einträge die es auch fixen kann aber immer wenn ich neu scanne sind sie wieder da.

Wäre sehr dankbar für eure Hilfe!

06.07.2005, 12:04

Ach ja noch was der Trojaner hat meinen Desktop blau gemacht mit der Meldung
"A fatal error has occured in IE at [...] Error was caused by Trojan-Spy.html.smitfraud.c"
*System can not function in normal mode
Please check your security settings
*Scan your PC with any available antivirus/spyware remover program to fix the problem.

Nach dem das kam war auch eine DesktopVerknüpfung zu einem Programm names PSGuard da, da ich es aber nicht kannte und für Malware hielt hab ich es deinstalliert.

06.07.2005, 12:38

Hast du dein Virenscanner denn auch aktuallisiert?
Hast du nach dem du die Einträge bei Hijackthis gefixt hast sie auch im abgesichertem Modus gelöscht?

06.07.2005, 13:13

Zitat von daylifecom

Hast du dein Virenscanner denn auch aktuallisiert?
Hast du nach dem du die Einträge bei Hijackthis gefixt hast sie auch im abgesichertem Modus gelöscht?

AntiVir aktualisiere ich so gut wie täglich.
Aber ich hab nichts im abgesicherten Modus gelöscht. Hab ich auch noch nie gemacht und Hijackthis hat trotzdem Sachen gelöscht. Wenn ich die Eintröge mit Hijackthis im abgesicherten Modus fixe findet er sie nicht gleich wieder danach aber wie lösche ich die dann?

06.07.2005, 18:56

also die Trojaner bin ich glaube ich über den abgesicherten Modus losgeworden, aber mein Desktop ist immer noch blau und hat die Message drauf. Wenn ich Rechtsklick auf dem Desktop mache habe ich nur noch Bildschirmschoner und Einstellungen.
und die readme.exe ist auch noch da.....

Das nervt total, also wenn jemand was weiß, wäre ich sehr dankbar

07.07.2005, 07:52

Hallöchen,

unter folgendem Link findest du eine Anleitung wie du diesen Trojaner vollständig entfernen kannst...

07.07.2005, 08:00

AntiVir aktualisiere ich so gut wie täglich.
Aber ich hab nichts im abgesicherten Modus gelöscht. Hab ich auch noch nie gemacht und Hijackthis hat trotzdem Sachen gelöscht. Wenn ich die Eintröge mit Hijackthis im abgesicherten Modus fixe findet er sie nicht gleich wieder danach aber wie lösche ich die dann?

Du musst sie erst Fixen und anschließend erst im Abgeischerten Modus löschen. Aber mit der Anleitung sollte es ja klappen.

07.07.2005, 16:55

Tja die Anleitung hilft mir leider nicht so viel weil alle darin genannten Dateien gar nicht auf meinem PC sind....
Wie gesagt die Virusmeldungen sind auch weg. Hijackthis log wird mir unter der https://www.hijackthis.de/ als alles sauebr angezeigt.
Mein Problem ist nur noch dass der Desktop Hintergrund noch immer die blaue Warnmeldung ist. Die kommt anscheinend vom Trojaner selber hab ich irgendwo gelesen.

07.07.2005, 18:54

Du kannst aber mit einem Rechtsklick die Eigenschaften von deinem Desktop aufrufen? Wenn ja, dann gehe einmal auf Desktop - Desktop anpassen - dann den Reiter "Web" auswählen und dort alle Einträge einmal löschen. Danach den Hintergrund neu einstellen.

Schöne Grüße
Nikki

07.07.2005, 20:17

Jo genau so kannste es machen, wenn noch was ist, dann poste einfach.

07.07.2005, 22:24

Zitat von Brumbator

Wenn ich Rechtsklick auf dem Desktop mache habe ich nur noch Bildschirmschoner und Einstellungen.

Das is es eben.... Desktop is da nicht mehr drin in den Eigenschaften von Anzeige. Nur noch diese 2 Sachen eben. Die Readme.exe konnte ich mit KillBox wenigstens löschen

08.07.2005, 08:44

Hallöchen,

verwendest du denn Windows XP? Schon mal an die Systemwiederherstellung gedacht? Oder aber einfach das Setup von der CD starten und reparieren wählen...

08.07.2005, 09:07

Desktop is da nicht mehr drin in den Eigenschaften von Anzeige

Das kannst du wieder einschalten. Über gpedit.msc aber da müsste dir jemand anders weiterhelfen, weil ich auf der Arbeit momentan nicht auf gpedit zugreifen kann und dir den genaue Pfad nicht sagen kann.

08.07.2005, 10:03

Öffne einmal mit Start - Ausführen - regedit - die Registry und suche den Eintrag:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System

Wenn dort der Eintrag:

NoDispBackgroundPage

dann lösche ihn einmal. Mache aber bitte vorher ein Backup der Registry.

Schöne Grüße
Nikki

08.07.2005, 14:13

@Nikki
leider nicht drin
@computerdirk
muss man dafür nicht Wiederherstellungspunkte gemacht haben?

08.07.2005, 15:12

Wiederherstellungspunkte setzt WinXXP eigentlich von selber.

08.07.2005, 16:13

Dann erstelle einmal den Eintrag als REG_DWORD und setze den Wert auf 1.

Schöne Grüße
Nikki

08.07.2005, 16:46

hat auch nichts geändert, auch nicht nach einem Neustart.....
Wie müsste ich eine Systemwiederherstellung denn angehen. Mal nicht über Systemeigenschaften -> Systemwiederherstellung

08.07.2005, 17:17

Meinst du jetzt eine Reparatur von der XP-CD?
Dann musst du zuerst die Bootreiehenfolge ändern und mit der XP-CD starten. Die Auswahl, die dann erscheint, bestätigst du nur mit "Enter". Danach ist alles selbsterklärend. Du musst danach aber das System wieder auf den neuesten Stand bringen.

Schöne Grüße
Nikki

08.07.2005, 22:33

ne ich meinte die Sache mit dem Registry-Eintrag.
Vielleicht hilfts ja was: immer wenn der Bildschirmschoner angeht kommt noch eine Virusmeldung, die ich nicht beseitigen kann.

09.07.2005, 09:11

Die Registry kannst du mit dem Tool "Erunt" sichern und wiederherstellen.

https://www.zdnet.de/downloads/prg/v/f/deFFVF-wc.html

Kannst du dein System einmal durchsuchen nach

scr.exe
Mnmpe.scr?

Schöne Grüße
Nikki

09.07.2005, 12:16

beide dateien nicht vorhanden

09.07.2005, 13:48

Hallöchen,

also ich würde da nicht lange herumprobieren, sondern direkt von der Windows XP CD booten und eine Reparatur des Betriebssystems mchen. Danach, vor dem ersten Online-gehen, vernünftig mit Antivirensoftware und Firewall absichern und anschließend die nötigen Updates machen...

09.07.2005, 13:56

Hi
Geh doch:
Start =>Ausführen=>mscongfig=>Dienste=>den Eint´rag entfernen

Mit freundlichen Grüßen
misskissyou

P.S.Kannst du bitte dein Logfile hier reinstellen ??Das wär sehr gut!

09.07.2005, 14:23

Du kannst auch noch diese Einträge kontrollieren, wenn du möchtest:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run WindowsFY
<Pfad zum Trojaner>

Der Troj/FakeAle-A ändert in der Registry folgendes:

HKCR\CLSID\(145E6FB1-1256-44ED-A336-8BBA43373BE6)InprocServer32
<Pfad zum vorherigen Hintergrund>

den Eintrag löschen

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
NoActiveDesktopChanges
1

diesen Wert auf auf 0 ändern

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
NoDispAppearancePage
1

diesen Wert auf 0 ändern

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
NoDispBackgroundPage
1

diesen Wert auf 0 ändern

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
Wallpaper
C:\WP.BMP

diesen Eintrag löschen

HKCU\Control Panel\Colors
Background
0 0 0

was hier eingetragen ist, spielt keine Rolle

HKCU\Control Panel\Desktop
Wallpaper
C:\WP.BMP

diesen Eintrag löschen

HKCU\Control Panel\Desktop
WallpaperStyle
0

was hier eingetragen ist, spielt keine Rolle

Wenn das auch nicht hilft, dann bleibt dir tatsächlich nur noch die Reparatur.

Schöne Grüße
Nikki

11.07.2005, 07:43

Also ich würde Dirk zustimmen... Reperatur über WinXP Setup-CD

11.07.2005, 16:58

also ich hab das mit dem Desktop in den Griff bekommen, ein ominöses wo.jpg gelöscht und einen Ordner names !Submit der auf C: war, in dem der gesamte Inhalt meines Desktops war auch erst mal verschoben und dann auch gelöscht. Das einzigste was jetzt noch nicht stimmt ist wenn ich Rechtsklick auf dem Destop mache werden mir in den Anzeigeeigenschaften nur noch 3 Reiter angezeigt: Desktop, Bildschirmschoner und Einstellungen. Anpassen fehlt zum Beispiel

11.07.2005, 23:32

Dann mach mal folgendes:

Start -> Ausführen -> gpedit.msc

Dort unter

Benutzerkonfiguration -> Administrative Vorlagen -> Systemsteuerung -> Anzeige

einen Doppelklick auf Registerkarten "Darstellung" und "Design" ausblenden

und auf nich konfiguriert setzen oder auf deaktiviert. Dann sollten die Reiter wieder da sein.

12.07.2005, 22:56

Vielen Dank, daylifecom! hat funktioniert!!

13.07.2005, 15:29

Nachdem ich jetzt wieder beim Öffnen jedes Programms AntiVir Meldungen kriege ist hier mal meine log file:

Logfile of HijackThis v1.99.1
Scan saved at 15:31:50, on 13.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: AVGNT.EXE.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D36A178C-74FD-4364-9145-50C158C0295E}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

13.07.2005, 15:38

das logfile ist-jedenfalls nach der automatischen auswertung-vollkommen sauber.
wie lauten die meldungen denn genau?

13.07.2005, 16:32

C:\WINDOWS\SYSTEM32\OLEADM.DLL

Is the Trojan horse TR/Agent.FF

So zum Beispiel, sind aber immer andere, Adaware, Spybot und a² finden nichts....

13.07.2005, 17:03

Hast du das Microsoft Removal-Tool schon drüberlaufen lassen?

https://www.microsoft.com/security/malwa ... fault.mspx

Hier ist auch noch eine Anleitung, den Trojaner zu entfernen:

https://forum.hijackthis.de/newreply.php ... ply&t=5195

Schöne Grüße
Nikki

14.07.2005, 11:00

C:\Windows\System32\wldr.dll

Troj/FakeAle-D

Troj/FakeAle-D, ein Windows-Trojaner, verfügt über die Fähigkeit zum Verändern von Browser-Einstellungen und zum Anzeigen gefälschter Meldungen als Windows-Desktop-Hintergrundbild. Das Bild zeigt einen blauen Bildschirm und folgenden Text:

Security warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

* System can not function in normal mode.
Please check you security settings.
* Scan your PC with any avaliable antivirus / spyware remover
program to fix the problem.

Sobald Troj/FakeAle-D installiert ist, werden folgende Dateien erstellt:

<System>\wldr.dll
<Root>\wp.bmp
<Root>\wp.exe

Ich schätze, dass ich genau den hatte, aber keine der 3 Dateien ist mehr da....
Und die Virusmeldungen häufen sich so wie auch im anderen Thread beschrieben

14.07.2005, 11:21

Guck mal hier:
https://www.sophos.de/virusinfo/analyses ... ealed.html

nicht zu entfernendes Ungeziefer

nicht zu entfernendes Ungeziefer

Benutzer, die dieses Thema gelesen haben: 0