Hallo,

ich bin neu hier und möchte ein Problem schildern:

Wir sind in der Firma kürzlich auf XP umgestiegen und seit einigen Wochen beobachte ich ein merkwürdiges Phänomen.

Wenn ich am PC arbeite, egal in welcher Applikation, dann deaktiviert sich mein
aktives Fenster mitten im Arbeiten, egal ob ich etwas schreibe oder in Excel Daten eingebe und das ist sehr nervig, weil man dauernt unterbrochen wird.

Kennt jemand dieses Problem?

Über eine Antwort würde ich mich sehr freuen.

Gruß

Littleorca

Habt ihr schon einen Viren Scann gemacht ?

THN

Hallo,

vielen Dank für deine Rückmeldung.

Ja, McAffee und Stinger aber nix hilft.

Gruß

Littleorca

@Littleorca

poste ein HJT logfile
download
anleitung
chaosman

Hallo chaosman,

wie mache ich das ?

Gruß

Littleorca

Hallo,

Hijackthis downloaden und in einem eingenen Ordner z.B. "C:\hijack" mittels Winzip oder Winrar entpacken.
Dann Hijackthis.exe doppelklicken danach auf den Button "Do a Scan und save a log" anklicken.
Nach dem Scan öffnet sich automatisch der Editor. Den Inhalt dieses Editor (Hijackthis-Logfile) hier posten.

dartus

Etwa so?

Danke.


Logfile of HijackThis v1.99.1
Scan saved at 13:01:21, on 16.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\S24EvMon.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\NALNTSRV.EXE
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\System32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\TpKmpSVC.exe
C:\WINNT\System32\wm.exe
C:\NOVELL\ZENRC\WUOLService.exe
C:\WINNT\System32\WMRUNDLL.EXE
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\System32\TpScrLk.exe
C:\WINNT\System32\TpShocks.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\WINNT\System32\NWTRAY.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\WINNT\System32\NALDESK.EXE
C:\WINNT\System32\ctfmon.exe
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireTray.exe
C:\Program Files\lotus\notes\NLNOTES.EXE
C:\Program Files\lotus\notes\naldaemn.EXE
C:\Program Files\lotus\notes\nhldaemn.EXE
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\WINNT\System32\WISPTIS.EXE
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://inside.abb.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://inside.abb.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ABB
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = demhg-cf01.de.abb.com:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINNT\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINNT\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINNT\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINNT\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [TPKBDLED] C:\WINNT\System32\TpScrLk.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Program Files\hp LaserJet 1000\fwdl.exe
O4 - HKCU\..\Run: [Tracks Eraser Pro] C:\Program Files\Acesoft\Tracks Eraser Pro\te.exe min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\System32\ctfmon.exe
O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://inside.abb.com
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BU...1/axofupld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) - http://10.1.120.39/applications/vist...-1_4_0-win.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DEWIB.LummusOnLine.com
O17 - HKLM\Software\..\Telephony: DomainName = DEWIB.LummusOnLine.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DEWIB.LummusOnLine.com
O20 - Winlogon Notify: QConGina - C:\WINNT\SYSTEM32\QConGina.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Program Files\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Microsoft Service Monitor - Unknown owner - C:\WINNT\System32\msce.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINNT\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINNT\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINNT\system32\TpKmpSVC.exe
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINNT\System32\wm.exe
O23 - Service: WUOLservice (WUOLService) - Novell, Inc. - C:\NOVELL\ZENRC\WUOLService.exe

Hallo,

uploade bitte folgende Datei hier: http://www.malwareupload.com

C:\WINNT\System32\msce.exe

Erläuterungen

Lass diese Datei auch online scannen:

http://virusscan.jotti.org

Teile bitte das Ergebnis mit.

dartus

Also,

hab die Datei auf 1. Seite hochgeladen.

2. habe ich online scannen lassen mit folgendem Ergebnis:

Alle ausser Kaspersky haben nix gefunden:

Kaspersky: Trojan-PSW.Win32.PdPinch.gen

Gruß

Littleorca

Zitat:

Zitat von Littleorca

Also,
Kaspersky: Trojan-PSW.Win32.PdPinch.gen

Siehe http://www.gdata.de/article/articleview/3150/1/1/

Da es ein Firmenrechner ist, solltest Du unverzüglich den Admin informieren.

Gruß
Yopie

Danke Yopie

Zitat:

Zitat von Littleorca

Ich tue es und habe verstanden

Hallo Yopie,

danke für den Tip.

Ich habe tatsächlich diese Mail erhalten, habe aber den Anhang nicht
geöffnet. Trotzdem sind die Dateien, wie in deinem Link beschrieben auf
meinem Rechner.

Leider haben wir nur McAffee, und der findet ihn nicht.

Stellt sich noch die Frage, wie ich das ding wieder los werde.

Gruß

Littleorca

Also,

es ist ein Trojaner, Trojan-PSW.Win32.PdPinch.gen.

Ich habe mich an eine Vorgehensweise erinnert bei einem anderen dieser ARt und da sollte man, da die sich immer selbst erneuern folgendes machen:

1. Betreffende Dateien umbenennen
2. Regestry Einträge löschen
3. Neu Starten und dann die Dateien löschen

und dann war er weg.

Das gleiche habe ich auch versucht und das ist in die Hose gegangen.

Also:

1. Datei msce.exe habe ich umbenannt in msce.exe.com
2. Datei csrss.exe habe ich umbenannt in csrss.exe.com
3. Ich habe die Einträge in der Registry gelöscht
4. Dann habe ich die Dateien gelöscht, csrss.exe lies sich nicht löschen.
5. Rechner neu gestartet

Und dann war das Chaos perfekt, der Rechner ist nicht mehr gestartet. Es kam ein blauer Screen mit "Fatal System Error" mit der Nummer
C 000021a .... of 0x0000034

Weiß jemand was da passiert ist ?

Gruß

Littleorca

@Littleorca

Zitat:

Datei csrss.exe habe ich umbenannt in csrss.exe.com.....
Weiß jemand was da passiert ist ?

Du hast eine Win-Systemdatei umbenannt. Das Neuaufsetzen des Systems von Anfang an hätte dir viel Zeit gespart. Jetzt musst du es zwangsweise tun.

Hallo,

Du hättest die csrss.exe doch auch bei "jotti" scannen können, um sicher zu gehen!

http://www.neuber.com/taskmanager/de...csrss.exe.html

dartus