WICHTIG: Desktophintergrund erscheint Warnung und nicht änderbar

#1 Hallo alle zusammen ich hoffe mir kann hier jemand helfen und zwar ist bei mri irgend ein virus gelandet, der jetzt auf dem desktophintegrrund so eine Warnung anzeigt das mein PC infeziert sei.Un dich kann den Hintergrund nicht mehr ändern und ich kann den TAsk-Manager nicht satrten komtm die Meldung: Der taskmanager wurde durch den Administrator deaktiviert. Mein logfile von Hjack habe ich als Anhang ran gehangen.

Need help thx:-)





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:28, on 22.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21020)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\pctspk.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINXP\system32\svchost.exe
C:\Programme\HanseNet\Alice\app\TangoService.exe
C:\WINXP\system32\UAService7.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\HanseNet\Alice\app\TangoManager.exe
C:\WINXP\system32\RunDLL32.exe
D:\Programme\Winamp\winampa.exe
C:\WINXP\system32\LVCOMSX.EXE
D:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\frmwrk32.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HanseNet\Alice\app\TANGOM~1.EXE
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINXP\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINXP\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\DOKUME~1\YASIN~1.YAS\LOKALE~1\Temp\E_S2D5.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\YASIN~1.YAS\protect.dll,_IWMPEvents@16
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [Ad-Aware] C:\Programme\Lavasoft\Ad-Aware\\Ad-Aware.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-606747145-963894560-839522115-500\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-21-606747145-963894560-839522115-500\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [A00F1EB709.exe] C:\WINXP\TEMP\_A00F1EB709.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E715C70D-82B1-4620-B875-520688B75169}: NameServer = 213.191.74.12 62.109.123.254
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O22 - SharedTaskScheduler: gsf87hfunf98398jd - {C6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINXP\system32\had73sfdfd.dll
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINXP\system32\pctspk.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\Alice\app\TangoService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINXP\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe

--
End of file - 9535 bytes


__________
Peace

#2 Arbeite bitte die Punkte 2-4 aus http://board.protecus.de/t23188.htm ab un poste die erstellten Report
__________
MfG Ralf
SEO-Spam Hunter

#3 ok ist in arbeit nur punkt 2 versteh ich nicht ganz:-S
__________
Peace

#4 Sollte doch nicht so schwer sein, die Datentraegerbereinigung zu nutzen!?
Ist aber nicht so tragisch. Die anderen Punkte sind wichtiger...
__________
MfG Ralf
SEO-Spam Hunter

#5 Dabei geht es um die Entrümpelung deines Systems. Du kannst auch CCleaner verwenden.

Gruss Swiss

#6 okay danke das andere beides läuft schon:-)

ich hab zurzeit noch eine VIren prüfung von zone alarm am laufen soll ich die dann jetzt beenden?achso udn was meinst du wielange der scan von malwarebyte jetzt eigentlich dauert?:-Sbrauch den pc noch heute^^danke dir;-)

zum CCleaner: sollen dort alle hacken aktiviert werden?möchte ungern das z.B dinge die ich bei meinem browser gespeichert habe gelöscht werden

Malwarebyte log datei jetzt fertig udn angehangen

also der taskmanager ist aufeinmal wieder da:-)schonmal gutes zeichen(taskmanager=freund&helfer[bei bösen prozessen]^^)

Niemand mehr da?comofix läuft noch also den bericht schick ich dann auch wenn fertig


__________
Peace

#7 Ich hoffe du hast die Dinge, die Mbam gefunden hat auch reinigen lassen? Aber warten wir mal auf den CF Report.

BTW: Editiere nicht immer deine Postings, da man nur vom ersten Posting eine Benachrichtigung via Email bekommt....

Also erst wieder melden, wenn das Cf Log fertig ist !
__________
MfG Ralf
SEO-Spam Hunter

#8 da ist der Cf Report
achso und ich kann schon wieder(nach ### neustarten) mein hintergrundbild ändern und der taskmanag.. läuft auch wieder und bis jetzt auch keine meldung von angeblich virus blabla

achso und na klar hab ichs gleich reinigen lasen;-)


__________
Peace

#9 Mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code

http://board.protecus.de/t36975.htm

collect::[49]
c:\winxp\system32\icfksita.dll
c:\winxp\system32\uympgo.dll
c:\winxp\system32\nqjntfji.dll
c:\winxp\system32\config\systemprofile\Startmen�ü\Programme\Autostart\ChkDisk.dll
c:\dokumente und einstellungen\Yasin.YASIN-F4F861E64\Startmenü�\Programme\Autostart\ChkDisk.lnk

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________
MfG Ralf
SEO-Spam Hunter

#10 welches log im notepad?es erschien popup das es "weitere malware zur verfügung stellen muss" oder soetwas aber kein browser wurde geöffnet also weiß ncith weiter den ersten report häng ich ran...


__________
Peace

#11 Ich muss die Anleitung mal anpassen. CF hat in Sachen Dateiuebertragung einiges geaendert.

Pruefe die DAtei c:\winxp\system32\config\systemprofile\Startmen�\Programme\Autostart\ChkDisk.dll Bitte einmal bei Virustotal

Problem bei deinem Rechner ist, das er extremst verseucht ist. Man kann zwar noch einige Dinge austesten, aber 100% bekommen wir den nicht mehr hin....
__________
MfG Ralf
SEO-Spam Hunter

#12 uhh Schei... ja ich weiß der wurde schon oft formatiert:-(ähhm ist der jetzt von dieser einen sache versaucht oder ist der auf die dauer durch kleinere hinterlistige viren immer mehr verseucht wurden?ähmm da wo du gesgat hast find ich die datei nicht:-S
achso der Pc funktioniert ja jetzt auch oder meinst du der wird jetzt immer langsamer?weil wie er jetzt grad funktioniert ist der ja okay,

ps. scheiße das du immer nicht da bist und sofort antwortest:-Sweil ich geh gleich pennen und den PC muss ich eigentlich bis morgen wieder in Ordnung gebracht haben bzw. soweit in Ordnung das er befreit ist und man mit Sichherit (ohne angst zu haben das der gleich abkackt) benutzen kann

meld dich schnell:-(


am besten wäre es du würdest sagen was ich jetzt ncoh alles machen soll un dir schicken soll und ich schick es dir dann udn wenn ich morgen wieder daheim bin dann guck ich mir deine antworten an:-S aber wenn du jetztz nciht mehr kommst dann schreib tortzdem was ich maachen soll udn dann guck ich mal das ich morgen abend alles rüber schicke
__________
Peace

#13 Pruefe die von mir genannte Datei und poste das Ergebniss... Dann wirst du (nac einem nochmaligen CF Report) noch das SP3 installieren, wobei ich nicht weiss, ob auf deiner Festplatte noch genug Platz fuer die Installation ist!
__________
MfG Ralf
SEO-Spam Hunter

#14 die datei würd ich prüfen wenn ich sie finden würd,hab durchsucht und die datei gar nicht gefunden&ist das service pak denn nötig?

und seit kurzem bekomm ich bei firefox wenn ich mich wo einloggen will diese meldung>>> Sichere Verbindung fehlgeschlagen www.arcor.de verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt erst ab 30.09.2008 16:52. (Fehlercode: sec_error_expired_certificate) * Das könnte ein Problem mit der Konfiguration des Servers sein, oder jemand will sich als dieser Server ausgeben. * Wenn Sie mit diesem Server in der Vergangenheit erfolgreich Verbindungen herstellen konnten, ist der Fehler eventuell nur vorübergehend, und Sie können es später nochmals versuchen.<<<
(und meine uhrzEIT UND das datum stllen sich immer auf 0 uhr....)kann es damit zu tunhaben das ich meinen pc auf ruhezusatnd habe und dann hinten am pc den knopf noch drücke zum ausschalten(ich mache das weil vor tagen am abend ist der pc immer von alleine hoch gefahren(im ruhezustand), dann habe ich zusätzlich hinten noch am knopf gedürck(also hauptschalter vom pc oder so)

weißt vielleicht eine lösung?

und danke nochmal

[ich werde erst heut abend wieder zum schreiben da sein bzw. vielleicht auch erst morgen aufjedenfall hoff ich das du bis dahin was neues weißt]
__________
Peace

#15 Ja, die schnellste und sauberste Loesung waere hier den Rechner neu aufzusetzen...

Zu dem Servicepack, das stopft einiges an Sicherheitsloecher und macht xp etwas stabiler....
__________
MfG Ralf
SEO-Spam Hunter