Kann den Desktophintergrund nicht ändern

#16 Nein Nein, das Aktic-X Steuerelement ließ ich zu.... es war eine Viruswarung seitens AntiVir während der Installation...

ich wählte "Datei belassen"... Panda brach dann ab und gab mir die Möglichkeit "TryAgain"

Denkst du ich sollte AntiVir während der Installation abschalten, bzw zulassen etwas auf die Festplatte zu kopieren?

Gruß Philipp

#17 Ja lass es zu. Das ist normal das der Guard da anspringt. Gegenseitige Virenscanner identifizieren sich manchmal gegenseitig (deswegen sollte man auch nie zwei auf seinem System gleichzeitig laufen haben).
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#18 Ok, Panda hat 96 Sachen gefunden !!!! 68 konte er erledigen... ein großer Teil waren eEinträge in den Favoriten des InternetExplorers, den ich eigentlich gar nicht nutze.... ich hab diese Einträge gelöscht... und mache noch einen Scan und poste das Ergebnis dann.

Status zur Zeit:
Incident Status Location

Adware:Adware/SaveNow No disinfected Windows Registry
Adware:Adware/Smitfraud No disinfected Windows Registry
Adware:Adware/Antivirus-gold No disinfected C:\WINDOWS\system32\hookdump.exe
Virus:W32/Smitfraud.A Disinfected C:\WINDOWS\system32\winint.dll
Virus:W32/Netsky.P.worm Disinfected Lokale Ordner\Gesendete Objekte\[message.scr]


Bis später
Philipp

#19 So, das ist das Letzte was übrigblieb...
Wie werd ich das jetzt los... ist das nur ein RegEintrag?

Gruß und Danke
Philipp


Incident......................................Status......................Location

Adware:Adware/SaveNow.........No disinfected............Windows Registry

#20 Start -> Ausführen -> regedit
Fertige zuerst ein Sicherheits-Backup deiner Registry an:
Datei -> Exportieren

Danach suche die folgenden Schlüssel und lösche diese:

Code

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave
HKCR\WUSN.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Xtractor Plus_is1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free Software

Danach gehe zu den folgenden Schlüsseln (lösche diese NICHT, navigiere nur zu ihnen):

Code

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Schaue nach ob sich bei diesen Schlüsseln auf der rechten Seite des regedit folgende Werte befinden:

Code

"VVSN" = "%ProgramFiles%\VVSN\VVSN.exe"
"SaveNow" = "%ProgramFiles%\SaveNow\SaveNow.exe"

Wenn sie in einem der beiden Schlüssel vorhanden sind, lösche sie.

Nach dieser Prozedur schaue ob du folgende Dateien auf deinem System findest, wenn ja, lösche sie:

Zitat

Quelle: http://securityresponse.symantec.com/avcenter/venc/data/adware.savenow.html

%ProgramFiles%\Save\Save.exe
%ProgramFiles%\Save\Save.html
%ProgramFiles%\Save\Readme.txt
%ProgramFiles%\Save\SaveUninst.exe
%ProgramFiles%\VVSN\VVSN.exe
%ProgramFiles%\SaveNow\Readme.txt
%ProgramFiles%\SaveNow\SaveNow.exe
%ProgramFiles%\SaveNow\SaveNow.htm
%ProgramFiles%\SaveNow\Uninst.exe
%ProgramFiles%\Xtractor Plus\hh.html
%ProgramFiles%\Xtractor Plus\readme.txt
%ProgramFiles%\Xtractor Plus\unins000.dat
%ProgramFiles%\Xtractor Plus\unins000.exe
%ProgramFiles%\Xtractor Plus\xp.exe
%ProgramFiles%\Xtractor Plus\Xplus.CNT
%ProgramFiles%\Xtractor Plus\XPLUS.HLP
%System%\CCRPFTV6.OCX
%System%\SSubTmr.dll
%System%\TABCTL32.OCX
%System%\UNACE.DLL
%System%\UNRAR.dll
%System%\Unzip32.dll
%Windir%\hh.ico
%Windir%\hhs.url

Note:
%ProgramFiles% is a variable that refers to the program files folder. By default, this is C:\Program Files.
%System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
%Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows or C:\Winnt.

Suche ebenfalls mit Hilfe der Windows Suchfunktion nach diesen Dateien um sie ebenfalls zu löschen wenn du fündig wirst:
Save.exe
VVSN.exe
xplus.exe
savenow.exe


Danach mache nochmal einen Panda Scan und berichte.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#21 Keine der o.a. Dateien oder Einträge gefunden... Panda bingt immer noch das selbe Ergebnis:

Incident......................................Status......................Location

Adware:Adware/SaveNow.........No disinfected............Windows Registry


Gruß Philipp

P.S. Bin erst Sonntag abend zurück.

#22 Sehr merkwürdig, denn eigentlich sollte SaveNow von AdAware, Spybot und auch dem Panda entfernt werden können (dachte ich zumindest)

Deaktiviere übrigens einmal die Systemwiederherstellung, reboote und aktiviere sie wieder. Dadurch werden deine alten Wiederherstellungspunkte gelöscht, da diese potentiell noch von der Malware verseucht sind.

Des weiteren versuche mal noch folgendes:

Start -> Systemsteuerung -> Software
Schau mal nach ob du dort "SearchNugget Toolbar" oder "Save" findest, wenn ja, deinstalliere es.

Danach öffne wieder regedit:

Zitat

Click Start > Run.
Type regedit
Click OK.


Navigate to the subkey:

HKEY_CLASSES_ROOT\CLSID


In the left panel, delete the keys:

{4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D}
{4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7E}
{4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7F}


Navigate to the subkey:

HKEY_CLASSES_ROOT


In the left panel, delete the keys:

sbar.SBARMenu Button
sbar.SBARToggle Button
sbar.SBAR


Navigate to the subkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar


In the right panel, delete the value:

"{4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D}" = "02"


Navigate to the subkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects


In the left panel, delete the key:

{4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D}


Exit the Registry Editor.

Poste anschließend auch mal wieder ein HijackThis-Log und berichte.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#23 Keinen Eintrag in der Reg. gefunden... Panda findet immer noch 1 Eintrag wie bisher .....

Gruß Philipp
Logfile of HijackThis v1.99.1
Scan saved at 18:58:47, on 19.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\ATI Multimedia\main\ATIDtct.EXE
C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijack\HijackThis.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\LaunchPd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096478753734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

#24 Wie wär's mit folgendem Versuch: Start => Ausführen => regedit. Nachdem sich der Registry-Editor geöffnet hat auf Bearbeiten => Suchen gehen und "SaveNow" (ohne die Anführungszeichen) eingeben und dann den Eintrag in der gesamten Registry suchen lassen.
Falls der Eintrag gefunden wird => löschen

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#25 Hi, habe im prinzip das selbe problem wie der threadstarter, hatte auch einen trojaner und anschließen das das problem mit dem desktop etc, das ist aber eigentlich alles weg, allerdings ist die wininet.dll immer noch mit dem Virus.Win32.Nsag.a infiziert, den ich mit keinerlei antivirensoftware wegbekomme.
jetzt habe ich also diesen thread hier gefunden und wollte diesen panda online scan durchführen, allerdings kommt dann statt dem eigentlichen pop-up so ein "Your Home Page" - Fenster, dass sich übrigens auch immer selbst als Startseite einstellt....
Hat irgendjemand einen Rat was ich da machen kann? Bin kurz vorm verzweifeln...

#26

Zitat

Wie wär's mit folgendem Versuch: Start => Ausführen => regedit. Nachdem sich der Registry-Editor geöffnet hat auf Bearbeiten => Suchen gehen und "SaveNow" (ohne die Anführungszeichen) eingeben und dann den Eintrag in der gesamten Registry suchen lassen.
Falls der Eintrag gefunden wird => löschen

Das habe ich doch schon alles ausprobiert... es gibt in meiner Reg keinen derartigen Eintrag...
Gruß Philipp

#27 @Hyphistos

versuche den Link hier:
http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

klicke die Fenster weg und lasse Panda alle Komponenten installieren...
unterbrichst du die Installation, installiert er sich nie wieder komplett.... ich habe dann alles was mit Panda in der Reg stand gelöscht und schon installierte er sich komplett neu.... und fand ne ganze Menge !

Gruß und viel Glück
Philipp
(bin kein Profi... nicht mal Amateur :-))

#28 Dann halt mal die "Holzhammer"-Methode.
Lade Dir RegSeeker herunter
http://www.chip.de/downloads/c_downloads_10786291.html
Stelle als Sprache "Deutsch" ein, dann "Registry säubern" auswählen. Wenn der Scan beendet ist, alle gefundenen Einträge markieren und dann Entf-Button drücken. Die unnützen Registry-Einträge werden entfernt und das Programm legt automatisch einen Backup an. Vielleicht hilft das ja.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#29 ok , alles gemacht ... viele unnütze RegEinträge entfernt... aber Panda findet immer noch das hier:

Adware:Adware/SaveNow No disinfected Windows Registry
.... schade das der Eintrag nicht namentlich genannt wird :-'(
Habe auch Adaware , >Spybot und EScan nochmal laufen lassen... krieg das Ding nicht weg!

HiJackLog sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 00:29:23, on 20.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Multimedia\main\ATIDtct.EXE
C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\LaunchPd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096478753734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe


Gruß Philipp

#30

Zitat

PhilippBayer postete
@Hyphistos

versuche den Link hier:
http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

klicke die Fenster weg und lasse Panda alle Komponenten installieren...
unterbrichst du die Installation, installiert er sich nie wieder komplett.... ich habe dann alles was mit Panda in der Reg stand gelöscht und schon installierte er sich komplett neu.... und fand ne ganze Menge !

Gruß und viel Glück
Philipp
(bin kein Profi... nicht mal Amateur :-))

Tjo wie bereits erwähnt kann ich den Panda nicht ausführen, weil ich erst gar nicht so weit komme. Wenn ich auf "scan your pc" oder so ähnlich klicke kommt statt dem Fenster das eigentlich kommen sollte, nur dieser "Your Home Page" - Mist.