Freunde,

das Thema umschreibt es schon recht präzise: wenige Sekunden nach der Anmeldung unter XP und beim Öffnen eines beliebigen Explorerfensters oder dem Anklicken einer Datei flackert der Menüpunkt "Datei" auf und macht mir Angst und Bange. Was passiert hier?
Maus und Tastatur sind nicht mehr zu gebrauchen, manchmal fängt sich das System wieder nach vielen, vielen Minuten.

Kann jemand Hinweise geben? Gabs das schon mal? AntiVir hatte ausser ein paar Warnungen nix gefunden.

Das blöde ist, dass man nur ganz schlecht was untersuchen kann, da der Rechner so schnell blockiert.

THX!

ZITAT jürgenM

Zitat:

AntiVir hatte ausser ein paar Warnungen nix gefunden

Was für Warnungen waren denn das ?

Was für Warnungen waren denn das ? [/QUOTE]

In etwa diese:

Ein Sektor konnte nicht gelesen werden.
Hiberfile.sys konnte nicht geöffnet werden
Pagefil.sys konnte nicht geöffnet werden
spybot
cydoor.zip ist passwort geschützt
dsoexploit.zip ist passwort geschützt
Favoriten : ??????.url Zugriff verweigert konnte nicht geöffnet werden Fehler gesperrt
Fehler bei Wechsel in das Verzeichnis system volume information
c:\windows32\config\
default Fehler beim Öffnen
sam Fehler beim Öffnen
security Fehler beim Öffnen
software Fehler beim Öffnen
system Fehler beim Öffnen


Sorry, dass es nicht genauer geht, das hatte ich mir notiert _bevor_ der Rechner mich nicht mehr ranliess.

Erstelle mal einen Log von HijackThis und poste ihn hier im Board.

www.hjt.klaffke.de

Also:

spybot fand einen DSO Exploit mit Registry Eintrag
HKEY_USERS\S-1-5-18-\Software\...\Zones\0\1004!=W=3
und drei weitere.
Aktion: gelöscht

AdAware fand HiWire Objects:
Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{28f00b04-dc4e-11d3-abec-005004a44eeb}


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{28f00b20-dc4e-11d3-abec-005004a44eeb}


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{28f00b21-dc4e-11d3-abec-005004a44eeb}


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : hiwire.configurator


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : hiwire.configurator.1


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : hiwire.transportcenter


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : hiwire.transportcenter.1


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : hiwire.userregrequest


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : hiwire.userregrequest.1


Hi-Wire Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CURRENT_USER
Object : Software\HIWIRE

Aktion: Quarantäne und gelöscht

HijackThis fand:
Logfile of HijackThis v1.99.1
Scan saved at 03:26:53, on 23.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Utils\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\rundll32.exe
D:\Utils\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Utils\Ad-aware 6\Ad-aware.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\WINDOWS\hh.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
D:\Utils\Internet\Mozilla\mozilla.exe
D:\Utils\Internet\Avant Browser\iexplore.exe
C:\WINDOWS\System32\MDM.EXE
H:\Tools\Worm\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Utils\SystemTools\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\Utils\Internet\FlashGet\jccatch.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Utils\Internet\FlashGet\fgiebar.dll
O3 - Toolbar: Get Anonymous - {8892C699-6978-4DD9-8EB2-951C93DB4F62} - D:\Utils\Internet\GetAnonymous 2.1 Professional\IEToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Utils\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Utils\Internet\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Utils\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Hervorheben - D:\Utils\Internet\Avant Browser\Highlight.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Utils\Internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Suchen - D:\Utils\Internet\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Utils\Internet\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Utils\Internet\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Utils\Internet\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Utils\Internet\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75361DB4-E7FB-491A-8539-152958381BB4}: NameServer = 195.50.140.250 145.253.2.203
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: FanSpeedNT Service - Unknown owner - D:\Utils\FanSpeed\fanspeedNT.exe" (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Utils\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe

Sieht für mich Unbedarften erstmal alles okay aus, bis auf den MedionShop vielleicht.

Wie weiter?

@juergenM
überprüfe dein rechner mit escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Zitat:

Zitat von juergenM

Was für Warnungen waren denn das ?

In etwa diese:

Ein Sektor konnte nicht gelesen werden.
Hiberfile.sys konnte nicht geöffnet werden
Pagefil.sys konnte nicht geöffnet werden
spybot
cydoor.zip ist passwort geschützt
dsoexploit.zip ist passwort geschützt
Favoriten : ??????.url Zugriff verweigert konnte nicht geöffnet werden Fehler gesperrt
Fehler bei Wechsel in das Verzeichnis system volume information
c:\windows32\config\
default Fehler beim Öffnen
sam Fehler beim Öffnen
security Fehler beim Öffnen
software Fehler beim Öffnen
system Fehler beim Öffnen


Sorry, dass es nicht genauer geht, das hatte ich mir notiert _bevor_ der Rechner mich nicht mehr ranliess.[/QUOTE]


Hallo Juergen
Das ist nicht mehr Dein Rechner, wenn Du verstehst was ich meine,
alles neu aufsetzen, was anderes hilft nicht.
Mach es lieber gleich, alles Andere ist nur unnötige Plage.
Tut leid, mfg. Martissimus

@Martissimus

Warten wir lieber erstmal den Escan ab.

Okay, was weiter geschah: habe den a-squared scanner laufen lassen, mit folgendem Ergebnis:

NeroBurningROM\NEro55\setup.exe
scan2fnd.exe (war auf einer C´t Software-Sammlung, das sollte doch ok sein???)
fotoalbum.exe (Shareware von WinBoard)

Hilft mir glaube ich auch nicht viel weiter...

Mache mich an den escan - wie lange dauert der etwa?

@juergenM
escan kann länger als 1 stunde dauern, hängt von der Zahl der dateien ab der auf den Rechner sind.

chaosman

Hallo zusammen,

ich habe auch dieses Problem. Zuerst dachte ich es wäre die Grafikkarte und habe den Treiber aktualisiert, dies führte aber zu keiner Änderung. Dann meldete meine Funkmaus, dass die Batterien leer seien. Danach hat sich auch keine Änderung gezeigt. Ich habe dann den Logitechtreiber Setpoint durch den neusten ausgetauscht. Meine letzte Feststellung ist, dass es wahrscheinlich an der Funktastatur liegt. Sobald das Flackern auftritt und ich die Esc-Taste drücke hört es auf.

Viele Grüße