mit Spyware/Virus/IE -> Fehlermeldung auf blauem Hintergrund

B

Blackvirus

0
Hi!

Ich habe ein Prob mit Spyware oder einem Virus, kA was das jetzt wirklich ist.
Am Anfang hatte der IE den Fehler, das die Startseite immer auf leere seite geändert wurde und irgendeine Suchseite oder so kam. Nachdem ich Spybot durchlaufen lies und die ganze Spyware löschte, war dieses Problem weg.
Doch ich habe nach wie vor einen blauen Hintergrund, den ich natürlich nicht ändern kann, mit folgendem Text darauf:


Security warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

System can not function in normal mode.
Please check you security settings.

Scan your PC with any avaliable antivirus / spyware remover
program to fix the problem.


Die zwei letzteren Absätze sind Aufzählungen.
Ehrlich gesagt hab ich solch eine Fehlermeldung noch nie gesehen, und ich bin mir nicht mal sicher, ob die überhaupt echt ist.

Was muss ich tun um diese Fehlermeldung wegzubekommen, denn ich kann den Hintergrund nicht ändern, sondern nur mehr die Auflösung??

Ich bin für jede Hilfe dankbar!

Danke im Voraus

Blackvirus
 
Juchhu, ein neuer Thread über Spyware. :)

Bevor wir hier weiter machen, würde ich vorschlagen, einen Online-Scanner über dein System laufen zu lassen. Denn Spybot sowie ein einzelner Scanner erkennen oft nicht alles nötige an Spyware.

Bei www.bitdefender.com und mcafee.com findest du zwei Online-Scanner. Wenn du damit fertig bist, hat sich mit viel Glück dein Problem gelöst.

Die Fehlermeldung ist vermutlich ein Fake. Trotzdem würde ich mal scannen. Ggf, deinstalliere mal deinen Scanner und installiere einen anderen Scanner (Trial-Version).
Nur nicht zwei auf einmal betreiben.

Lade mal Hijack-This runter und poste das Log.

Gruss

root
 
Mit bitdefender hab ich's schon versucht, doch da angezeigt wurde, dass der vorgang noch ca. 5h dauert hab ich abgebrochen.

Hier das log von HijackThis:



Logfile of HijackThis v1.99.1
Scan saved at 20:58:24, on 19.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\wp.exe
E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\PROGRA~1\IZARC\IZARC.EXE
C:\DOKUME~1\BLACKV~1\LOKALE~1\Temp\tmp2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - E:\Programme\Yetisports\IEButtonYetiSportsEBayInterface.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {F5058068-E893-499F-952F-A12357879CF1} - C:\WINDOWS\System32\ejepa.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - E:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "E:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [Aureon 5.1 Fun Mixer] C:\WINDOWS\System32\Aureon 5.1 Fun Mixer.exe /minimize
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - Global Startup: ZoneAlarm.lnk = E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Microsoft AntiSpyware helper - {82CA8C83-A5C6-4D5D-8B43-283C6B950BBE} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {82CA8C83-A5C6-4D5D-8B43-283C6B950BBE} - (no file) (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1095707547609
O17 - HKLM\System\CCS\Services\Tcpip\..\{802CFBFB-BCF5-4A96-84A6-83410086221E}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Prolific HotFix Q0306270 (PLQ0306270) - Unknown owner - C:\WINDOWS\System32\HotFixQ0306270.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ScsiAccess - Unknown owner - E:\Programme\Photodex\CompuPicPro\ScsiAccess.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 
Mach den Scan mal über Nacht.

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/624797...e/bridge-c7.cab <= böse

windupdates.com ist Spyware

C:\wp.exe <= ? Keine Ahnung

Hast du den IE zweimal offen? Ansonsten hat sich was an den IE gehängt.

C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

O23 - Service: Prolific HotFix Q0306270 (PLQ0306270) - Unknown owner - C:\WINDOWS\System32\HotFixQ0306270.exe <= ? auch unbekannt für mich.

E:\PROGRA~1\IZARC\IZARC.EXE <= ?

O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)

Alle nicht gut ;) Check mal deine Registry und die HOSTS Datei nach solche Einträgen.

Mehr sehe ich jetzt nicht auf den ersten Blick.

Wenn deine Admin-Rechte aber verbogen sind, kann es gut sein, dass du die "Fehlermeldung" nicht so ohne weiteres weg bekommst.

Gruss

root
 
Den IE hatte ich anscheinend 2 mal offen.
Das mit dem HotFix.. dürfte glaub ich vom windowsupdate oder so kommen
IZARC = Zipprog wie WinZip.

Was meinst du mit "verbogenen Admin-Rechten"??

EDIT: Wo ist den der online scanner bei mcafee??
 
Original von Blackvirus
Den IE hatte ich anscheinend 2 mal offen.
Das mit dem HotFix.. dürfte glaub ich vom windowsupdate oder so kommen
IZARC = Zipprog wie WinZip.

Was meinst du mit "verbogenen Admin-Rechten"??

EDIT: Wo ist den der online scanner bei mcafee??
Zum Vergrößern anklicken....

Zu Frage 1. Trojaner sperrt Regedit unter Windows XP Home Sowas. Du bekommst Rechte entzogen.

Zu 2. Wieso wusste ich, dass die Frage kommt? :D
Hier: http://de.mcafee.com/root/mfs/default.asp

Musst dich anmelden, ist aber kostenlos.

Kann, glaube ich, nicht eigenständig löschen. Zeigt dir die Pfade aber an. Kannst du dann von Hand erledigen. Ergebnisse sind recht gut.

Trotzdem Beide verwenden. ;)

Gruss

root
 
1.) Ich habe WinXP Prof. und der regedit funktioniert bei mir noch
2.) Bei bitdefender warn such-button, bei mcafee nicht und gesehen hab ich auf den ersten blick auch nirgendwo was über online scan oder so.

Achja, bei dem mcafee online-scan muss man sich gar nicht anmelden.
Bis jetz hab ich nur das windows-verzeichnis gescannt und dort hat er folgenden virus gefunden:
C:\WINDOWS\system32\wldr.dll Downloader-YN.dll

Leider gibt es keine infos zu diesem virus.
 
thx, jetzt weiß ich auch woher die fehlermeldung kommt
-> wp.bmp
Hab die wp.exe und die wp.bmp gelöscht, doch die fehlermeldung bzw. der hintergrund ist noch da, und "anzeige" ist noch immer teilweise gesperrt.
Ich hoffe es funktioniert wieder nach nem neustart, nen versuch ists ja wert.

EDIT:
Jetzt funktioniert wieder alles. Ich frag mich nur woher die datei gekommen ist, denn die wp.bmp war fast 2mB groß.

Danke für die Hilfe!!!

Thx

Blackvirus
 
Hallo!

Hatte dasselbe Problem!

Ich habe jetzt auch die beiden Dateien aus C: gelöscht nur leider sind die Reiter in den Azeigeeigenschaften immer noch gesperrt(siehe Anhang) und mein Hintergrund ist schwarz wie die Nacht. ;(

Habe übrigens Spybot, Ad-Aware und nach dem Thread, bitdefender online benutzt!
Weiters laufen auf meinem Rechner ZoneAlarm und McAfee.
Laut denen ist mein System jetzt sauber, und der Hijack listet auch keine verdächtigen Zeilen auf.

Hat jemand ne Idee wie ich die Reiter wieder bekomme.
 
@Chris79:
Sorry, für die falsche Info. Hab grad gesehen, dass auch bei mir die reiter noch weg sind, aber irgendwie kommt mir vor, waren die schon wieder da.
Falls ich sie wieder herbekomm, sag ich bescheid.

@core:
benutze teilweise mozilla, jedoch nur teilweise

MfG

Blackvirus
 
Hallo!

Gibt es unter Windows eigentlich eine "legale" Möglichkeit Reiter verschwinden zu lassen, oder muß man dazu im Source Code wühlen?

Mich würde intressieren, ob irgendeine übriggebliebene Datei/Registry-Eintrag des Trojaners die Anzeige/Ausführung dieser Reiter verhindert, oder ob diese Reiter aus dem Windows-Code gelöscht wurden.

Kann eurer Meinung eine Windows-Reparatur helfen?

Ich werd mich jetzt noch etwas damit befassen.

mfg

Chris
 
Original von Chris79
Hallo!

Gibt es unter Windows eigentlich eine "legale" Möglichkeit Reiter verschwinden zu lassen, oder muß man dazu im Source Code wühlen?

Mich würde intressieren, ob irgendeine übriggebliebene Datei/Registry-Eintrag des Trojaners die Anzeige/Ausführung dieser Reiter verhindert, oder ob diese Reiter aus dem Windows-Code gelöscht wurden.

Kann eurer Meinung eine Windows-Reparatur helfen?

Ich werd mich jetzt noch etwas damit befassen.

mfg

Chris
Zum Vergrößern anklicken....
Das Microsoft Windows-Betriebssystem ist ein kompiliertes Programm, es liegt also in binärer Form vor. Daher ist es nicht möglich etwas am Code direkt zu ändern oder gar zu entfernen.
Was verstehst du unter 'Reiter', ich denke deine Schilderung ist ein wenig konfus.

MfG
 
Die Reiter kann man in der Registry sperren/entsperren.

Fragt mich jetzt nicht wo, weiß ich grad nicht genau.
Aber zumindest kann man diese Registry-Einträge mit jedem Tune-Up-Utility für Windoof wieder zurück andern.

EDIT: Grad' noch was gefunden:

In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System verschiedene DWORD-Schlüssel erzeugen und diesen den Wert 1 zuweisen:
NoDispCPL = 1 (Anzeige-Eigenschaften komplett sperren)
NoDispSettingsPage = 1 (Einstellung für Farbtiefe und Auflösung sperren)
NoDispBackgroundPage = 1 (Desktop für Hindergrundbilder sperren)
NoDispAppearancePage = 1 (Designs-Darstellung sperren)
NoDispSCRSavPage = 1 (Bildschirmschoner sperren)


cu [int]
 
@??+:

Danke für die Info.
Anscheinend fehlen da aber nochn paar Keys, denn ich kann, soweit ich bis jetzt gesehen habe ist das das einzige, noch keinen hintergrund einstellen, nur ausrichtung und farbe anpassen.
 
Bei den Keys musst du etwas rumprobieren, da "0" meist "disabled" bedeutet, aber manchmal auch "hide".

Sonst hab ich noch hier 'n Link gefunden, oder du schaust noch unter folgenden Pfaden nach:
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

ob du da was auffälliges findest.

Hilft das auch nichts, mal einfach ein Tune-Up-Utility(SAD XP-Tuner,TuneUp,etc) besorgen (Testversion wird wohl reichen), da müsste man das einstellen können.


cu [int]
 
@[int]:
danke für die hilfe, hab das prob endlich behoben.

@Chris79:
du musst in
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
die Zeichenkette (zeichen mit kleinem a und b) names Wallpaper löschen.

MfG

Blackvirus
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben