Ich hab anscheind einige Viren / Trojaner oder was weiß ich auf dem Rechner.

Hab schon Adaware / CWS / ESCan (hat einiges gefunden, konnte ich aber nicht entfernen da keine Vollversion) usw. laufen lassen.

Hab ausserdem als Virenscanner immer am laufen Norton Symantec Corporate Edt. 9 aktuell. Aber die hat nichts gefunden .

Das Problem was ich mit dem Rechner hab ist das der Mauszeiger einfach weg ist. Ich kann die Maus noch bedienen aber ich sehe keine Zeiger.

Hab mal das Hijack mit hochgeladen. Bzw. ich poste es lieber hier rein:

Logfile of HijackThis v1.99.1
Scan saved at 22:25:40, on 02.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\SDrees\Desktop\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoftnews.com/ms/display_main.php?tac=WhenU
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CWShredder Service - InterMute, Inc. - F:\CWShredder.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe


Könnt ihr mir helfen wie ich weiter vorgehen soll. Der Rechner hat keine Internetverbindung. Ich muss also alles so aktuell halten.

Grüsse Karina

@Karina_N

Zitat:

Hab mal das Hijack mit hochgeladen. Bzw. ich poste es lieber hier rein

Bitte Log im Normalmodus erstellen.

Servus!
Ich nehme an, dass das HJT Log aus dem abgesichertem Modus kommt - wenn ja, poste bitte eines aus dem "normalen" Modus.
Und das escan Ergebnis wäre auch interessant!
(im Log nach 'tagged', 'infected' und 'offending' suchen und die Ergebnisse hier posten)
stupormundi
~~Edit~~ Jetzt warst Du schneller rene-gad ~~/edit~~

Achso logisch, sorry bin zwar nicht blond aber.....

Kann ich leider erst heute abend machen.

So nun vom normalen System.

Logfile of HijackThis v1.99.1
Scan saved at 20:32:06, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\vpc32.exe
C:\WINDOWS\system32\mmc.exe
C:\Dokumente und Einstellungen\xxx\Desktop\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoftnews.com/ms/display_main.php?tac=WhenU
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CWShredder Service - InterMute, Inc. - F:\CWShredder.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec Client Security\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe

Das Problem tritt sporadisch auf. Mal 5Min mal eine. Ich weiß nicht mehr weiter. Muss gleich erst mal wieder neu starten dann kann ich von EScan das Log noch schicken....


Karina

So hier noch der Escan LOG:

Tue Jan 03 20:26:15 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\diverses\elmeg\wintools
Tue Jan 03 20:26:20 2006 => Object "ibis Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 03 20:26:21 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\autos
Tue Jan 03 20:26:21 2006 => Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 03 20:26:24 2006 => Offending file found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\fun & games\games.lnk
Tue Jan 03 20:26:24 2006 => System found infected with hotbar Spyware/Adware (games.lnk)! Action taken: Keine Aktion vorgenommen.

Tue Jan 03 20:26:24 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\going places
Tue Jan 03 20:26:24 2006 => Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 03 20:26:24 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\hobby\modellbau\autos
Tue Jan 03 20:26:24 2006 => Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 03 20:26:25 2006 => Offending Folder found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\hobby\modellbau\händler\autos
Tue Jan 03 20:26:25 2006 => Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 03 20:26:25 2006 => Offending file found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\hobby\wallpaper\screen savers.url
Tue Jan 03 20:26:25 2006 => System found infected with network1.popups Adware (screen savers.url)! Action taken: Keine Aktion vorgenommen.

Tue Jan 03 20:26:26 2006 => Offending file found: C:\Dokumente und Einstellungen\xxx\Eigene Dateien\favorites\wallpaper\screen savers.url
Tue Jan 03 20:26:26 2006 => System found infected with network1.popups Adware (screen savers.url)! Action taken: Keine Aktion vorgenommen.

Tue Jan 03 20:26:29 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Tue Jan 03 20:26:29 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: Keine Aktion vorgenommen.

Tue Jan 03 20:26:29 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Tue Jan 03 20:26:29 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: Keine Aktion vorgenommen.


Tue Jan 03 20:31:03 2006 => Gescannte Dateien: 22041
Tue Jan 03 20:31:03 2006 => Gefundene Viren: 10
Tue Jan 03 20:31:03 2006 => Anzahl der desinfizierten Dateien: 0
Tue Jan 03 20:31:03 2006 => Umbenannte Dateien: 0
Tue Jan 03 20:31:03 2006 => Anzahl der gelöschten Dateien: 0
Tue Jan 03 20:31:03 2006 => Anzahl Fehler: 67
Tue Jan 03 20:31:03 2006 => Dauer des Scans bisher: 00:07:05

Tue Jan 03 20:31:03 2006 => ***** Scan vollständig. *****
Tue Jan 03 20:31:03 2006 => Virus-Datenbank Datum: 12/26/2005
Tue Jan 03 20:31:03 2006 => Virus-Datenbank Zähler: 167489

Grüsse Karina

Keiner ne Idee??

Hab mit Symantec nochmal gescannt, wieder nix.
Dann mit dem Ewido . Der hat welche gefunden.

Hab mir mal welche notiert:

Not-A-Virus.PSWTool.Win32PWDump
Not-A-Virus.PSWTool.Win32PWPSKILL
Dropper.Delf.fd
und mehrere Dialer.Gerneric

Hab sie dann erstmal alles gelöscht. Leider konnte ich sonst nichts mehr machen. Wie würdet ihr weiter vorgehen?

Karina

@Karina_N
Da meist der Funde in deinem Eigene Dateien-Ordner liegt, sollst du die mit www.virustotal.com checken und entscheiden, was du danach tun solltest. Wenn ich ehrlich bin, klingt das Ganze für mich mehr nach Fehlalarme.
Allerdings: ich persönlich glaube keinem Tool, denn jedes Tool kann u.U. auch mit Malware kompromittiert werden. Format c:\ ist nachwievor die sicherste Methode, den PC zu säubern.

Nun damit hab ich überhaupt keine Probleme den neu aufzusetzen. Hab ich vor kurzem ja auch schon gemacht, nur anscheind hab ich den Virus etc. immer wieder mitgenommen, denn das Problem kam wieder.

Denke ich muss erstmal den entfernen und dann neu aufsetzten denn sonst hab ich das gleiche Problem später wieder. Der eigene Dateien Ordner ist mir natürlich sehr wichtig. Aber die Meldungen sind aus dem Favoriten Ordner und die sind nicht wirklich so wichtig....

Werde heut Abend mal noch ein paar Scan im Abgesicherten Modus machen. Hab auch noch drei externe HDD´s die gescannt werden müssen

Karina