Trojaner eingefangen! Unerwünschtes Desktophintergrundbild! - Was tun?

Hallo, alle miteinander!

Jetzt hab ich mir zu Weihnachten ja nix gewünscht, hätte auch nichts gebraucht, und hab trotzdem ein unerwünschtes Weihnachtsgeschenk bekommen - EINEN TROJANER. Und wie? Weil man so dämlich ist, sich alles aus dem Internet runterzuladen, was einem zum Download angeboten wird. X(

Mein System ist Windows Server 2003 - gerade vor einigen Wochen frisch installiert - natürlich noch Sicherheitslücken drin - und gerade als ich alle Löcher stopfen wollte kam das nun. Ärgerlich bei einem System, das gerade mal drei Wochen alt ist.

Hier im Forum hab ich "Trojan Hunter" in der Download-Section gefunden. Dieses hat mir zumindest jetzt mal alle Trojaner entfernt. Empfehlenswertes Tool! ;)

Nun hab ich allerdings noch immer das Problem, das mein Desktophintergrundbild kurz nach dem Systemstart nicht mehr zu sehen ist und durch ein anderes Bild verdeckt wird. Auf dem unerwünschten Bild steht dann irgendwas von "Trojan infection...blah...blah...blah". Soweit ich jetzt rausgefunden habe, ist es ein ganz normales HTML-Dokument - dieses hab ich im C:\Windows\ gefunden und gelöscht. Seitdem ist wenigstens diese bescheuerte Trojanerwarnung weg - aber mein Hintergrundbild ist immer noch nicht sichtbar, stattdessen nur die Hintergrundfarbe von Windows.

Meine Frage nun:
Ich vermute, irgendwas hat mir aus meinem Hintergrund eine Website gemacht *achselzuck* Unter Win98 gab es die Funktion, das man den Desktop auch als Browser benutzen konnte (Funktion: Desktop als Website). Gibt es da nun eine ähnliche Funktion unter Windows Server 2003? Wo kann man das abschalten? Läuft evtl. ein Dienst, den ich noch nicht gefunden habe....???

Gefragt sind auch die Spezialisten für XP, denn WinServ2003 ist nichs anderes als ein weiterentwickeltes XP. Bitte um Hilfe, denn meine Desktop kommt mir ohne Hintergrundbild so nackt vor!!!!
 
naja soweit ich weiß, hieß das bei frueheren versionen "active desktop" oder so, und konnte man per rechtsclick auf den desktop und irgendwo in den active-desktop-einstellungen konfigurieren...
probier mal rechtsclick (desktop) -> eigenschaften -> desktop
-->desktop anpassen und dort unter web nachsehen, ob dort eine website auf deinem lokalen rechner eingestellt wurde... sonst fällt mir grad nix ein, aber das wär die funktion mit der website auf dem desktop...
 
Diese Option ist mir bekannt. Gibts auch unter Windows Server 2003. Da steht standardmäßig was von "Die derzeitige Homepage". Aber das alleine brings auch nicht. Das Teil kann sich sonstwo verhakt haben. Da ist wohl doch eine Neuinstallation fällig.... Den ganzen Mist nochmal machen - kotz!!!!
 
das kannste eigentlich vergessen
sobald einmal ein Trojaner drauf is, kann der alles machen
deine Chancen den unerwünschten Hintergrund ohne neu-installation loszuwerden sind ziemlich gering
 
Mittlerweile hat es sich herausgestellt, das das Problem sich scheinbar nur auf ein einziges Benutzerkonte (Administratorkonto) begrenzt. Wenn ich mich über ein anderes Konto anmelde (ebenfalls Administratorkonto) dann besteht das Problem nicht mehr. Ich werde zuerst mal versuchen meine gesamten Einstellungen auf ein neues Benutzerkonto zu transferieren und danach nochmal nen Scan machen. Sollte dann alles sauber sein, lösche ich alle Dokumente und Einstellungen des alten Kontos. Vielleicht ist dann wieder Ruhe. Zumindest einen Versuch wärs wert, bevor ich gleich das System wieder platt machen muß.
 
es wär mal interessant, was fuer ein trojaner das denn war, und ob er sicher deinstalliert ist. denn wenn er nicht mehr aktiv ist, sollte es ja genuegen, die in frage kommende einstellung fuer den desktop zu deaktivieren, deswegen gleich win neu zu installieren find ich ein wenig uebertrieben.
hast du schon mal mit autoruns von sysinternals oder ähnlichem nach auffälligkeiten gesucht?
die methode mit den docs und einstellungen transferrieren funktioniert wahrscheinlich auch nur in der theorie, denn wenn wie du sagst das problem vom benutzerkonto abhängt, ist die wahrscheinlichkeit sehr groß, dass du dieses problem einfach wieder in das nächste benutzerprofil rueberkopierst.. aber einfach das betreffende konto löschen (falls es nicht wirklich das standart-Administrator-konto ist) duerfte doch auf jeden fall weniger arbeit sein als den kompletten rechner neu aufzusetzen..
 
Es sieht so danach aus, das ich um eine Neuinstallation des Systems nicht rumkomme. Der Trojaner hat mehr am System zerstört, als auf den ersten Blick zu erkennen war. Da ich auch einen VPN-Server am laufen hatte, dieser aber nun nicht mehr funktioniert, muß ich davon ausgehen, das dieser Trojaner dafür verantwortlich ist. Zwar konnte ich ihn lokalisieren und isolieren, aber er läßt sich einfach nicht zu 100% entfernen. Wenn man ihn entfernen will, dann ist er beim nächsten Systemstart wieder da.

Also werd ich mein System - schweren Herzens - nochmal neu machen....

WO IST MEIN VORSCHLAGHAMMER????? X(
 
setz die kiste neu auf, ein kollege hat sich was ähnliches geholt, keinen trijaner sondern malware, und ausser neu aufsetzen wirst nix finden,weil die meisten daten nicht löschbar sind weil ein dienst läuft .
hab 2 nachmittag nur gesucht und zig daten entfernt die gleich wieder da waren, dann seinen rechner neu aufgesetzt und gleich awast installiert bevor ich weiter getan hab.
 
Ich habe das hier im Netz zum Thema Desktop wiederherstellen gefunden:

Desktop-Hintergrund wieder herstellen:
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoActiveDesktop
NoActiveDesktopChanges
ForceActiveDesktopOn
NoViewContextMenu
NoThemesTab
NoSaveSettings
ClassicShell
(falls vorhanden)
Wert = 0 oder löschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispAppearancePage
NoDispBackgroundPage
NoDispScrSavPage
NoDispSettingsPage
WallpaperStyle
Wallpaper
(falls vorhanden)
Wert = 0 oder löschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallPaper
NoComponents
NoAddingComponents
NoDeletingComponents
NoEditingComponents
NoHTMLWallpaper
(falls vorhanden)
Wert = 0 oder löschen

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper
wp.bmp = löschen (falls vorhanden), der Eintrag kann auch anders lauten - oder gleich den ganzen Unterschlüssel Wallpaper löschen (Rechtsklick und im Kontextmenü auf "Löschen" klicken)



Spy Sheriff legt evtl. ein Html-File an und speichert dies unter C:\Windows\Web\Wallpaper\xxxxx.html

Evtl. legt SpySheriff auch eine Desktop.html im Verzeichnis C:\Windows an, falls vorhanden --> löschen.

HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
"C:\windows\xxxxx.bmp" löschen

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General
Wallpaper = hier sollte der Pfad zu Wallpaper1.bmp stehen (%USERPROFILE%\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp)
BackupWallpaper = auch hier sollte der Pfad mit "Wallpaper" identisch sein.

Für Windows 2000/XP in den Gruppenrichtlinien (Start - Ausführen - gpedit.msc) nachsehen, ob unter Benutzerkonfiguration - Administrative Vorlagen - Desktop - Active Desktop
die Richtlinie Active Desktop-Hintergrund und Active Desktop aktivieren auf "nicht konfiguriert" steht.

Unter Systemsteuerung - Anzeige - Reiter "Desktop" - Button "Desktop anpassen" - Reiter "Web" - ?Webseiten? die Häkchen, der aufgelisteten Websites, entfernen.

So geht es bei der Adware "Spy Sheriff", die Anleitung müsste aber auch auf andere Sachen zu übertragen sein.
Das hatte sich schonmal ein Kumpel von mir eingefangen. Das Teil ist extrem nervig, wenn man es mal drauf hat und das Entfernen kostet einem den letzten Nerv.
 
danke ich werds mir merken und bei ihm konnte man den desktophintergrund nicht verstellen und es war immer wieder ein ordner mit incomming da , mit ca 500 rar datein von nacketen frauen bis zu GV bildern. kaum waren die gelöscht , warens wieder da.
dann haben wir den neu aufgesetzt und jetzt gibt er hoffentlich mehr acht!

thx thomas
 
@Zero_X:
Thx für die Registry-Anleitung, aber ich bin mittlerweile schon dem Tip von tom67 und Nick H. nachgekommen. Den Silvesterabend habe ich damit verbracht mein System neu zu installieren. Meine bessere Hälfte war auf der Arbeit (Krankenschwester) und ich hatte demnach Wachdienst über den Windelterroristen....

Nachdem der Hosenpuper dann im Bett war, hatte ich genügend Zeit für 3 1/2 Stunden Hardcore-Installing. Danach lief mein System wieder komplett mit allen Tools und Anwendungen und den dazugehörigen Einstellungen. Sogar zwei Games konnte ich noch draufbügeln. Alles noch im alten Jahr.

Im neuen Jahr dann gleich die o . g. Prozedur nochmal, weil mein Diskettenlaufwerk den Geist aufgegeben hat. Störung in der Stromzufuhr zur Floppy sobald eine Diskette eingelegt wurde. Da Floppy und die Systemplatte am gleichen Stromkabel angeschlossen waren, hat es mir dann noch den MBR zerschossen. Vorsorglich hatte ich von meinen wichtigen Daten vorher noch schnell ein Backup gemacht. :)

Jetzt endlich - nach 4 Mal neu installieren, viel Schweiß und Arbeit - läuft mein System under Windows Server 2003 endlich stabil. Da sich der Trojaner übers Netzwerk auch noch auf meinem Zweitrechner (Notebook) eingeschlichen hat, war dort EBENFALLS eine Neuinstallation mit Win2k fällig.

Was den Trojaner angeht, weiß ich immer noch nicht welcher das ganzgenau war. Da mein Rechner jedesmal letztendlich total gestreikt hatte, waren da keine Informationen mehr zu holen.

Zum guten Schluß noch ein Tip von mir an alle, die das gleiche Schicksal ereilt: INSTALLIERT EUER SYSTEM NEU!!!!! - AUCH WENN ES NOCH SO WEH TUT!

Übrigens: Wer eine Neuinstallation braucht, der kann mich ruhig fragen! - Hab ja mittlerweile eine waaaahnsinnige Routine!!!! *schulterklopf* 8)
 
Also nächstes mal: Systemwiederherstellung bewirkt bei dem Problem Wunder! Auf XP wars bei mir das gleiche. Neuinstallation ist meiner Erfahrung nach nicht nötig... 8)
 
@tom67: da hast du dir anscheinen nen filesharer eingefangen :-D
sind teilweise ganz nützlich wenn du den auf nen alten system installiertst wirdst immer mit neuem zeug versorgt ^^
</spaß>
also ich würd gleich neu installieren, sobald da mal was auf dem system war kann man nicht mehr sicher sein dass es nicht wiederkommt....
 
Original von heinzelJacKy
[...]deswegen gleich win neu zu installieren find ich ein wenig uebertrieben.


Das seh ich anders. Woher weißt du ob der Trojaner restlos runter ist? Das kann man nicht hunderprozentig wissen.. und dann muss man es früher oder später doch neu aufsetzen.

Mfg Mc Goodi
 
ich hab das system neu aufgesetzt und alles neu formatiert wo was drauf sein könnt , neu partitioniert und dann installiert und jetzt is ruhe , ausserdem hab ich gesagt wenn er nochmal bei der p2p börse was lädt kann er es das nächste mal selber machen.
 
Zurück
Oben