Logfile of HijackThis v1.99.1
Scan saved at 13:38:28, on 08.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\atiptaxx.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\macromed\flash\GetFlash.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Dein Internet Explorer Titel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: load - h**p://download.payone.de/install/load.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124619852500
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4356/mcfscan.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

Hallo! Ich hab mich in diesem Forum registriert, in der Hoffnung, mir könnte jemand bei meinem Problem weiterhelfen. Seit gestern hat sich unerwartet der Bildschirm gedreht, sodass jetzt alles auf dem Kopf steht. Wenn ich die Maus nach vorne bewege, bewegt sich die Maus am Bildschirm nach unten, sowie mit links und rechts. Die Startleiste unten ist oben, verkehrt, auch die Schrift steht auf dem Kopf. Nun habe ich schon einen Online-Virencheck von Panda durchführen lassen, hat auch einen Virus gefunden, war aber anscheinend nicht die Hauptursache.

Dort war er:
Lokale Ordner\Gesendete Objekte\antiav_dll.ser\antiav_dll.ser
und so hieß er:
Virus:Trj/Mitglieder.FU

Hoffentlich erkennt man etwas in diesem Log, ist nämlich der Computer meiner Mutter, die ihn dringend braucht. Danke schon mal

mfg maxii

Hallo,

den C:\Programme\TightVNC\WinVNC.exe hast aber schon Du selber installiert? Link zu WINVNC.

Panda hat dieses Virus gelöscht ja? Das war dieser hier, welcher eine Backdoor Funktionalität hat!
Daher ist Dein Rechner als kompromitiert anzusehen und ein Neuaufsetzten wäre wohl der beste weg, Anleitung in meiner Signatur.

Gruß

Schrulli

So so, das WinVNC.exe hab ich mir schon vor ein, zwei Jahren auf allen Computer installiert. Jetzt verwende ich das nicht mehr. Mein Rechner ist als kompromitiert anzusehen? Was meinst du damit? Den Ausdruck hab ich noch nie gehört. Gehen diese "Symptome" nicht zurück, wenn man den Virus löscht?

mfg max

Hallo,

das mit dem WinVNC war eine Frage, mehr nicht.

Deshalb solltest Du Deinen Rechner neu aufsetzten.
Der Wurm, sofern es der von Dir gennante war, installiert auf Deinem System eine "Hintertür".
Du kannst es gerne auch damit versuchen.
Das ist ein Removal Tool für diesen Wurm, empfehlenswert ist das bei Deinem Problemen aber schon nicht mehr!

Edit: Scan C:\WINNT\System32\macromed\flash\GetFlash.exe bei Jotti, Link in meiner Signatur und poste das Ergebnis.

Gruß

Schrulli

Hallo!

Ich hab die Datei jetzt von dem infizierten Computer auf den USB-Stick geladen und von dort aus den Check gemacht. Er hat nichts gefunden.
Den Link finde ich wirklich sehr gut! Das Removal Tool werde ich dann ausprobieren. Nur hab ichs jetzt etwas eilig, weil ich noch weggehen muss. Danke aufjedenfall!!

mfg max