Leidiges Thema Smart Security auf dem Desktop

#1 Hallo und guten Tag,

nachdem meine bessere Hälfte am 26.3. harmlos im Netz gesurft hat mit meinem Rechner, hat er sich auf uns unerklärliche Weise dieses Mistding eingefangen - Es erschien aber erst nach dem wir den Rechner std. später erst neu hochgefahren haben. Natürlich habe ich erst einmal Google dazu befragt und bin durch alle möglichen Unterforen von hier und anderen Foren gerauscht und hab mich schlau gemacht was gemacht werden muß...

Habe diveres Virenscanner nach einander drüberlaufen lassen (auch Escan und HJT) habe immer wieder neues gefunden und wegbekommen... Und das obwohl Firewall und Norton ständig aktuell und aktiv waren *grml*

So nun aber zu meinem eigentlichen Problem*g

Als ich habe diese nervtötende Werbung wieder wegbekommen, mein IE läuft auch wieder, nur funktioniert mein Rechtsklick immer noch nicht und auch einige Verknüpfungen auf dem Desktop fehlen noch.

Ausser dem kann ich meine Anzeige auch noch nicht anpassen. Unter Anzeige/Desktop steht noch eine desktop html datei (siehe Screen) die es aber weder unter C:\Window noch unter C:\Window\Web zu finden ist, da ich dort schon alles gesäubert hatte. Gibt es eine Möglichkeit irgendwie durch ein Hintertürchen in die Anpassung zu kommen?! Denn selbst über TuneUp funktioniert es nicht *heul*



Ich scheine doch noch irgendetwas übersehen zu haben und wäre über Hilfe dankbar!

aktueller Log von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 16:29:38, on 29.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Hasse-Hildenbrandt\Eigene Dateien\Download\hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CursorXP] "C:\Programme\CursorXP\CursorXP.exe" -s
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Erinnerungshilfe.lnk = C:\Program Files\Broderbund\The Print Shop\PSRemind.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4B9F2C37-C0CF-42BC-BB2D-DCFA8B25CABF} (PopCapLoaderCtrl Class) - http://zone.msn.com/bingame/rock/default/popcaploader1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


^^^^^^^^^^^^^^^^^^^^^^^^

habe versucht diese 2 Einträge zu fixen aber das geht nicht sie erscheinen immer wieder:

O15 - Trusted IP range: 64.62.171.156 (HKLM)

O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)


wo bei die unter 015 aufgelistete IP nicht unter "Vertrauenswürdige Seiten zu finden ist um sie dort eventuell löschen zu können.

^^^^^^^^^^^^^^^^^^^^^^^^

aktueller Log vom Escan:

infected:

Tue Mar 29 01:58:43 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Tue Mar 29 01:58:43 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.


Tue Mar 29 01:58:43 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Tue Mar 29 01:58:43 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.


Tue Mar 29 01:58:43 2005 => Offending value found in HKCU\Software\FunWebProducts !!!
Tue Mar 29 01:58:43 2005 => Offending Folder C:\PROGRA~1\FUNWEB~1 present...
Tue Mar 29 01:58:43 2005 => System found infected with FunWebProducts Spyware/Adware! Action taken: No Action Taken.
Tue Mar 29 01:58:43 2005 => File System Found infected by "FunWebProducts Spyware/Adware" Virus. Action Taken: No Action Taken.


Tue Mar 29 01:58:43 2005 => Offending value found in HKCU\Software\mywebsearch !!!
Tue Mar 29 01:58:43 2005 => System found infected with mywebsearch Spyware/Adware! Action taken: No Action Taken.
Tue Mar 29 01:58:43 2005 => File System Found infected by "mywebsearch Spyware/Adware" Virus. Action Taken: No Action Taken.


C:\DOKUME~1\HASSE-~1\LOKALE~1\TEMPOR~1\Content.IE5\RMXLRBOZ\8a5d46f961083146cbfdfe94b912d655_v3[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.


C:\DOKUME~1\HASSE-~1\LOKALE~1\TEMPOR~1\Content.IE5\RMXLRBOZ\bridge-c18[1].cab infected by "not-a-virus:AdWare.WinAD.af" Virus. Action Taken: No Action Taken.


C:\DOKUME~1\HASSE-~1\LOKALE~1\TEMPOR~1\Content.IE5\U96PYJMT\infected6xz[1].gif


Tue Mar 29 02:08:33 2005 => File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.a" Virus. Action Taken: No Action Taken.


^^^^^^^^^^^^^^^^^^^^^^^^^

Die Infectiösen Dateien vom ContentIE.5 hab ich schon gelöscht

^^^^^^^^^^^^^^^^^^^^^^^^^


Könnte mir vielleicht jemand weiterhelfen - wäre sehr dankbar

MfG
Dana

°°°°°°°°°°°°°°°°°°°°°°°°°^
30.03.05

Hallo ,

ich habe natürlich weiter versucht mein System wieder richtig sauber zu bekommen..

Mit der Weile kann ich meinen Desktophintergrund auch wieder ändern, dazu mußte ich etliche Einträge in der Registry noch per Handlöschen wo über all diese "desktop.html" Datei auftauchte und im abgesicherten Modus TuneUp drüberlaufen lassen und dann gings wieder...

Auch habe ich die Einträge in der Registry gelöscht:

Tue Mar 29 01:58:43 2005 => Offending value found in HKCU\Software\FunWebProducts !!!
Tue Mar 29 01:58:43 2005 => Offending Folder C:\PROGRA~1\FUNWEB~1 present...
Tue Mar 29 01:58:43 2005 => System found infected with FunWebProducts Spyware/Adware! Action taken: No Action Taken.
Tue Mar 29 01:58:43 2005 => File System Found infected by "FunWebProducts Spyware/Adware" Virus. Action Taken: No Action Taken.


Tue Mar 29 01:58:43 2005 => Offending value found in HKCU\Software\mywebsearch !!!
Tue Mar 29 01:58:43 2005 => System found infected with mywebsearch Spyware/Adware! Action taken: No Action Taken.
Tue Mar 29 01:58:43 2005 => File System Found infected by "mywebsearch Spyware/Adware" Virus. Action Taken: No Action Taken

Aber was ist mit diesen anderen Einträgen?!

Tue Mar 29 01:58:43 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Tue Mar 29 01:58:43 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.


Tue Mar 29 01:58:43 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Tue Mar 29 01:58:43 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.


Wie kann ich diese löschen?! Ich finde zwar über die Suche diese Schlüssel mehrfach aber welchen muß ich löschen oder muß ich alle Einträge mit diesen "Nummern" löschen?



Das einzigste Problem was nun noch besteht ist das der Rechtsklick nicht geht und immer noch ein paar Verknüpfungen auf dem Desktop fehlen, was aber nicht weiter tragisch wäre...Nur wie kann ich den Rechtsklick wiederherstellen?!

LG
Dana

#2 Rehallo,

Hier ist der Schlüssel http://www.winfaq.de/faq_html/tip0808.htm

Und hier das wesentliche

Unter:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
Bei 1 kommt kein Display-Menü mehr beim Klick mit der rechten Maustaste auf den Desktop oder Explorer. Bei NT 4.0 erst ab Service Pack 2 vorhanden.
NoViewContextMenu REG_DWORD Boolean 0

Möglicherweise muss das unter "HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer" wiederholt werden.

Viel Erfolg!
Ganzneuer

P.S.: Meinen alten Desktop hab ich noch nicht wieder, aber ich suche weiter.

#3 Danke Ganzneuer ,

dann versuche ich mal mein Glück

asteroiddana


20.04.2005

DANKEEEE Ganzneuer mein Rechtsklick funzt wieder *freuhüpf