schwarzer desktop nach virenbekämpfung... |
||
|---|---|---|
| #0
| ||
|
02.05.2005, 20:53
Member
Beiträge: 24 |
||
 
|
|
|
|
03.05.2005, 17:39
Moderator
 Beiträge: 6466 |
#2
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\duefymsu.exe unebdingt fixen.
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe Suche mal die msmsgs.exe und prüfe sie unter http://virusscan.jotti.org/ => http://sysinfo.org/startuplist.php?filter=msmsgs.exe __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
03.05.2005, 23:01
Member
Themenstarter Beiträge: 24 |
#3
Ich habe die O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\duefymsu.exe gefixed.
dann habe ich die msmsgs.exe gesucht und folgendes gefunden: msmsgs.exe in \Programme\Messenger\msmsgs.exe msmsgs.exe.manifest in \Programme\Messenger\msmsgs.exe.manifest MSMSGS.EXE-124D63BE.pf in \WINDOWS\Prefetch\MSMSGS.EXE-124D63BE.pf msmsgs.exe in \WINDOWS\ServiesPackFiles\i386\msmsgs.exe auf http://virusscan.jotti.org/ wurde an der datei nichts gefunden. soll ich jetzt F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe auch noch fixen? Ich benutzte den Windows Messenger eigentlich nicht und der hat sich auch nie von alleine gestartet, aber als ich eben einen neustart gemacht hab, hat er sich automatisch geöffnet. Sollte mir das zudenken geben? Das Problem was ich mit dem Desktop und der Anzeige hab ist aber immer noch da. Ich kann nach wievor keinen anderes Design oder Hintergrundbild verwenden, nur den schwarzen Hintergrund. MFG Brexx |
|
|
|
|
|
|
03.05.2005, 23:22
Member
Beiträge: 1132 |
#4
Zitat HalloDu hast Dir nicht nur "irgendeinen" Virus eingefangen, sondern Dein Rechner ist massiv mit Malware infiziert! Was Du so "herumgefummelt" hast, ist wahrscheinlich für die Katz! Das hier O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\duefymsu.exe ist z.B. ein Backdoor-Trojaner. Der Eintrag F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe deutet auf den Wurm W32.Alcarys.B@mm hin. Ebenfalls mit Backdoor-Eigenschaften! Nimm Deine Windows-CD in die Hand und setzte das System neu auf. Das wäre zu mindestens mein Vorschlag. Aber vielleicht sieht Joschi das ja anders. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
03.05.2005, 23:37
Moderator
Beiträge: 6466 |
#5
Wenn ich mir diese Seiten durchlese, muss ich mich heron anschließen.
http://www.symantec.de/avcenter/venc/data/w32.alcarys.b@mm.html http://www.rz.uni-karlsruhe.de/rz/sec/virus/AlcarysB.html Anleitung: Neu Aufsetzen und was danach zu machen ist __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
04.05.2005, 18:53
Member
Themenstarter Beiträge: 24 |
#6
Reicht es, wenn ich nur die "C" Patition mit Windows formatiere oder besser die komplette Festplatte?
Dann auch noch mal ein Danke an euch beide, dass ihr euch das angeguckt hab und mir geholfen habt. Wenn das doch eine größere Sache ist, die ich da drauf hab, dann ist es wohl besser, dass ich formatiere. THX MFG Brexx |
|
|
|
|
|
|
04.05.2005, 20:05
Moderator
Beiträge: 6466 |
||
|
|
|
|
|
04.05.2005, 20:59
...neu hier
Beiträge: 5 |
#8
ist bei mir auch so...
ich hab auch nen schwarzen bildschirm... aber bei mir ist eigentlich alles weg.. Ich kann auh nur noch Eigenschaften und Bildschirmschoner bei der Anzeige auswählen... wisst ihr weiter????????? |
|
|
|
|
|
|
04.05.2005, 22:14
Member
Beiträge: 1132 |
#9
Hallo p0ka,
Ich gehe einmal davon aus, dass Du Win-XP installiert hast. Meine Kristallkugel, mit der ich durch Raum und Zeit sehen konnte, ist mir leider gestern zerbrochen. Funktioniert der Start-Knopf in der Taskleiste noch? Wenn ja, dann Start => Programme => Zubehör => Systemwiederherstellung und installiere einen möglichst weit zurückliegenden Systemwiederherstellungspunkt. Vielleicht hilft das! Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
05.05.2005, 10:18
...neu hier
Beiträge: 5 |
#10
na supi..
dann is doch aber alles bis dahin weg.. |
|
|
|
|
|
|
05.05.2005, 10:29
Member
Beiträge: 1132 |
#11
Wenn Du mit "alles" die Windowsupdates und inzwischen installierte Programme meinst, dann ja! Aber die kann man ja wieder aufspielen. Immer noch das kleinere Übel im Vergleich zu einem schwarzen Bildschirm und einem evtl. verseuchten Rechner!
Wenn Du Deine Daten auf einer separaten Partition gespeichert hast, dann sehe ich keinen Grund, warum Du die Systemwiederherstellung nicht versuchen solltest. Im Notfalle kann man die ja auch wieder rückgängig machen! Vielleicht versuchst Du es zunächst einmal mit einem Wiederherstellungspunkt, der nicht so weit zurückliegt. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
05.05.2005, 10:37
...neu hier
Beiträge: 5 |
#12
könnte ja eigentlich 1-2 tage fbevor ich den virus haatte ausählen oda??
|
|
|
|
|
|
|
05.05.2005, 10:45
Member
Beiträge: 1132 |
#13
Ja, dann versuche es halt mal!
Wenn es nicht klappt, dann rückgängig machen (kannst Du im selben Fenster machen wie die Systemwiederherstellung) und einen anderen, weiter zurückliegenden, Wiederherstellungspunkt ausprobieren. Gruß Heron edit: sehe gerade, dass Du schon einen anderen Thread eröffnet hast wegen Deiner Probleme. Bitte bleibe in Deinem eigenen Thread!! __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 05.05.2005 um 11:08 Uhr von Heron editiert.
|
|
|
|
|
|
|
06.05.2005, 02:02
Ehrenmitglied
 Beiträge: 29434 |
#14
Brexx
Gehe in die Registry Start-->Ausfuehren-->regedit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ loeschen: "notepad2.exe" = "popuper.exe" •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\duefymsu.exe C:\WINDOWS\Downloaded Program Files\CONFLICT.1\popcaploader.dll C:\WINDOWS\Downloaded Program Files\popcaploader.dll C:\windows\popuper.exe C:\Windows\System32\intmonp.exe C:\WINDOWS\System32\helper.exe C:\PROGRAM FILES\VIRTUAL MAID\Virtual Maid.dll C:\PROGRAM FILES\VIRTUAL MAID\GoVM.dll.htm C:\PROGRAM FILES\VIRTUAL MAID\GoVM.dll C:\WINDOWS\System32\msmsgs.exe c:\windows\sites.ini C:\WINDOWS\System32\ole32vbs.exe C:\windows\system32\perfcii.ini C:\Windows\system32\helper.exe C:\Programme\Security iGuard\Security iGuard.exe C:\Programme\Security iGuard\database.dat C:\Windows\System32\wldr.dll neustarten Fixe mit dem HijackThis: F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\duefymsu.exe O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe O9 - Extra button: Microsoft AntiSpyware helper - {C7A57841-DDF3-452A-9443-5CE96CF35DA6} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C7A57841-DDF3-452A-9443-5CE96CF35DA6} - (no file) (HKCU) O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab PC neustarten CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp  Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt -------------- silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.05.2005, 13:05
Member
Themenstarter Beiträge: 24 |
#15
@ sabina in der regedit, wo ich die notepad2.exe löschen soll, sind glaube auch noch zwei andere einträge die nicht ganz sauber sind...
Name: Typ: Wert: winlogon.exe REG_SZ msole32.exe notepad.exe REG_SZ msmsgs.exe kannst du da was mit anfangen? bis zu "Lade: rkfiles.zip" hab ich deinen anweisungen gefolgt... aber wo bekomm ich jetzt die rkfiles.zip her? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich hab mir irgendein Virus oder ähnliches eingefangen... konnte das auch größten teils wieder los werden (die Prozesse hießen unteranderem: msole32.exe, intmonp.exe, popuper.exe). Die bin ich mit Hilfe von HijackThis und KillBox losgeworden. Erst hatte ich nen blauen desktop mit einer gefakten Fehlermeldung, die eine Webaddresse enthielt. Die ging nach dem Entfernen der oben genannten dateien weg und nun ist der Desktop komplett schwarz.
Wenn ich "Eigenschaften von Anzeige" aufrufe, dann kann ich nur "Bildschirmschoner" und "Einstellungen" auswählen und ich kann auch kein anderes Desktopbild verwenden. Andere negative Effekte sind mir bis jetzt nicht aufgefallen.
Ich hoffe, dass jemand einen guten Rat hat.
Danke schon mal im Vorraus.
Hier mal mein HijackThis log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\ICQLite4\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Brexx\Desktop\HijackThis.exe
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite4\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\duefymsu.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite4\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ200~1\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ200~1\ICQ.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite4\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite4\ICQLite.exe
O9 - Extra button: Microsoft AntiSpyware helper - {C7A57841-DDF3-452A-9443-5CE96CF35DA6} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C7A57841-DDF3-452A-9443-5CE96CF35DA6} - (no file) (HKCU)
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom2.icq.oberon-media.com/odyssey_web8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDA5AF43-E80F-4FD5-A78A-4E173B6CC7AE}: NameServer = 212.62.64.34 212.62.68.34
Wäre super, wenn sich das mal jemand mit Ahnung angucken kann.
THX
MFG
Brexx