Kann den Desktophintergrund nicht ändern |
||
---|---|---|
#0
| ||
17.06.2005, 12:13
Member
Themenstarter Beiträge: 61 |
||
|
||
17.06.2005, 12:47
Member
Beiträge: 669 |
#17
Ja lass es zu. Das ist normal das der Guard da anspringt. Gegenseitige Virenscanner identifizieren sich manchmal gegenseitig (deswegen sollte man auch nie zwei auf seinem System gleichzeitig laufen haben).
__________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
17.06.2005, 16:26
Member
Themenstarter Beiträge: 61 |
#18
Ok, Panda hat 96 Sachen gefunden !!!! 68 konte er erledigen... ein großer Teil waren eEinträge in den Favoriten des InternetExplorers, den ich eigentlich gar nicht nutze.... ich hab diese Einträge gelöscht... und mache noch einen Scan und poste das Ergebnis dann.
Status zur Zeit: Incident Status Location Adware:Adware/SaveNow No disinfected Windows Registry Adware:Adware/Smitfraud No disinfected Windows Registry Adware:Adware/Antivirus-gold No disinfected C:\WINDOWS\system32\hookdump.exe Virus:W32/Smitfraud.A Disinfected C:\WINDOWS\system32\winint.dll Virus:W32/Netsky.P.worm Disinfected Lokale Ordner\Gesendete Objekte\[message.scr] Bis später Philipp |
|
|
||
17.06.2005, 17:21
Member
Themenstarter Beiträge: 61 |
#19
So, das ist das Letzte was übrigblieb...
Wie werd ich das jetzt los... ist das nur ein RegEintrag? Gruß und Danke Philipp Incident......................................Status......................Location Adware:Adware/SaveNow.........No disinfected............Windows Registry Dieser Beitrag wurde am 17.06.2005 um 17:27 Uhr von PhilippBayer editiert.
|
|
|
||
17.06.2005, 17:44
Member
Beiträge: 669 |
#20
Start -> Ausführen -> regedit
Fertige zuerst ein Sicherheits-Backup deiner Registry an: Datei -> Exportieren Danach suche die folgenden Schlüssel und lösche diese: Code HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSaveDanach gehe zu den folgenden Schlüsseln (lösche diese NICHT, navigiere nur zu ihnen): Code HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSchaue nach ob sich bei diesen Schlüsseln auf der rechten Seite des regedit folgende Werte befinden: Code "VVSN" = "%ProgramFiles%\VVSN\VVSN.exe"Wenn sie in einem der beiden Schlüssel vorhanden sind, lösche sie. Nach dieser Prozedur schaue ob du folgende Dateien auf deinem System findest, wenn ja, lösche sie: Zitat Quelle: http://securityresponse.symantec.com/avcenter/venc/data/adware.savenow.htmlSuche ebenfalls mit Hilfe der Windows Suchfunktion nach diesen Dateien um sie ebenfalls zu löschen wenn du fündig wirst: Save.exe VVSN.exe xplus.exe savenow.exe Danach mache nochmal einen Panda Scan und berichte. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
18.06.2005, 07:08
Member
Themenstarter Beiträge: 61 |
#21
Keine der o.a. Dateien oder Einträge gefunden... Panda bingt immer noch das selbe Ergebnis:
Incident......................................Status......................Location Adware:Adware/SaveNow.........No disinfected............Windows Registry Gruß Philipp P.S. Bin erst Sonntag abend zurück. |
|
|
||
19.06.2005, 17:33
Member
Beiträge: 669 |
#22
Sehr merkwürdig, denn eigentlich sollte SaveNow von AdAware, Spybot und auch dem Panda entfernt werden können (dachte ich zumindest)
Deaktiviere übrigens einmal die Systemwiederherstellung, reboote und aktiviere sie wieder. Dadurch werden deine alten Wiederherstellungspunkte gelöscht, da diese potentiell noch von der Malware verseucht sind. Des weiteren versuche mal noch folgendes: Start -> Systemsteuerung -> Software Schau mal nach ob du dort "SearchNugget Toolbar" oder "Save" findest, wenn ja, deinstalliere es. Danach öffne wieder regedit: Zitat Click Start > Run.Poste anschließend auch mal wieder ein HijackThis-Log und berichte. __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 19.06.2005 um 17:50 Uhr von Malkesh editiert.
|
|
|
||
19.06.2005, 19:00
Member
Themenstarter Beiträge: 61 |
#23
Keinen Eintrag in der Reg. gefunden... Panda findet immer noch 1 Eintrag wie bisher .....
Gruß Philipp Logfile of HijackThis v1.99.1 Scan saved at 18:58:47, on 19.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\carpserv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\ATI Multimedia\main\ATIDtct.EXE C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wuauclt.exe C:\Hijack\HijackThis.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\LaunchPd.exe" O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096478753734 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing) |
|
|
||
19.06.2005, 19:22
Member
Beiträge: 1132 |
#24
Wie wär's mit folgendem Versuch: Start => Ausführen => regedit. Nachdem sich der Registry-Editor geöffnet hat auf Bearbeiten => Suchen gehen und "SaveNow" (ohne die Anführungszeichen) eingeben und dann den Eintrag in der gesamten Registry suchen lassen.
Falls der Eintrag gefunden wird => löschen Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
19.06.2005, 22:16
Member
Beiträge: 31 |
#25
Hi, habe im prinzip das selbe problem wie der threadstarter, hatte auch einen trojaner und anschließen das das problem mit dem desktop etc, das ist aber eigentlich alles weg, allerdings ist die wininet.dll immer noch mit dem Virus.Win32.Nsag.a infiziert, den ich mit keinerlei antivirensoftware wegbekomme.
jetzt habe ich also diesen thread hier gefunden und wollte diesen panda online scan durchführen, allerdings kommt dann statt dem eigentlichen pop-up so ein "Your Home Page" - Fenster, dass sich übrigens auch immer selbst als Startseite einstellt.... Hat irgendjemand einen Rat was ich da machen kann? Bin kurz vorm verzweifeln... |
|
|
||
19.06.2005, 22:51
Member
Themenstarter Beiträge: 61 |
#26
Zitat Wie wär's mit folgendem Versuch: Start => Ausführen => regedit. Nachdem sich der Registry-Editor geöffnet hat auf Bearbeiten => Suchen gehen und "SaveNow" (ohne die Anführungszeichen) eingeben und dann den Eintrag in der gesamten Registry suchen lassen.Das habe ich doch schon alles ausprobiert... es gibt in meiner Reg keinen derartigen Eintrag... Gruß Philipp |
|
|
||
19.06.2005, 22:56
Member
Themenstarter Beiträge: 61 |
#27
@Hyphistos
versuche den Link hier: http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm klicke die Fenster weg und lasse Panda alle Komponenten installieren... unterbrichst du die Installation, installiert er sich nie wieder komplett.... ich habe dann alles was mit Panda in der Reg stand gelöscht und schon installierte er sich komplett neu.... und fand ne ganze Menge ! Gruß und viel Glück Philipp (bin kein Profi... nicht mal Amateur :-)) |
|
|
||
19.06.2005, 22:59
Member
Beiträge: 1132 |
#28
Dann halt mal die "Holzhammer"-Methode.
Lade Dir RegSeeker herunter http://www.chip.de/downloads/c_downloads_10786291.html Stelle als Sprache "Deutsch" ein, dann "Registry säubern" auswählen. Wenn der Scan beendet ist, alle gefundenen Einträge markieren und dann Entf-Button drücken. Die unnützen Registry-Einträge werden entfernt und das Programm legt automatisch einen Backup an. Vielleicht hilft das ja. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
20.06.2005, 00:29
Member
Themenstarter Beiträge: 61 |
#29
ok , alles gemacht ... viele unnütze RegEinträge entfernt... aber Panda findet immer noch das hier:
Adware:Adware/SaveNow No disinfected Windows Registry .... schade das der Eintrag nicht namentlich genannt wird :-'( Habe auch Adaware , >Spybot und EScan nochmal laufen lassen... krieg das Ding nicht weg! HiJackLog sieht so aus: Logfile of HijackThis v1.99.1 Scan saved at 00:29:23, on 20.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\carpserv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Multimedia\main\ATIDtct.EXE C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\LaunchPd.exe" O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096478753734 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe Gruß Philipp Dieser Beitrag wurde am 20.06.2005 um 00:32 Uhr von PhilippBayer editiert.
|
|
|
||
20.06.2005, 06:50
Member
Beiträge: 31 |
#30
Zitat PhilippBayer posteteTjo wie bereits erwähnt kann ich den Panda nicht ausführen, weil ich erst gar nicht so weit komme. Wenn ich auf "scan your pc" oder so ähnlich klicke kommt statt dem Fenster das eigentlich kommen sollte, nur dieser "Your Home Page" - Mist. |
|
|
||
ich wählte "Datei belassen"... Panda brach dann ab und gab mir die Möglichkeit "TryAgain"
Denkst du ich sollte AntiVir während der Installation abschalten, bzw zulassen etwas auf die Festplatte zu kopieren?
Gruß Philipp