Hi,
ich habe den Verdacht, dass sich mein System irgendwas eingefangen hat, aber die Scan-Programme die ich durchlaufen lassen habe, haben nix gefunden.
Kann man in dem folgenden Logfile was verdächtiges finden?
Danke schon mal im Vorraus.


Logfile of HijackThis v1.99.1
Scan saved at 13:15:42, on 08.04.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE
C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TEMP\ICSUPP95.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
D:\WINPATROL\WINPATROL.EXE
C:\PROGRAMME\ANALOGX\NETSTAT LIVE\NSL.EXE
C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AMI MOUSE 250SP WIRELESS OPTICAL\LWBWHEEL.EXE
D:\SITECOM WLAN\WLANUTL.EXE
C:\PROGRAMME\SOPHOS\REMOTE UPDATE\IMONITOR.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA\FIREFOX.EXE
D:\WINAMP\WINAMP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\DOWNLOADED\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WinPatrol] "d:\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [NetStat Live] C:\PROGRAMME\ANALOGX\NETSTAT LIVE\NSL.EXE
O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [TrustInstaller] E:\SETUP.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Startup: Sitecom WLAN Client Utility.lnk = D:\Sitecom WLAN\Wlanutl.exe
O4 - Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O4 - Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla\Thunderbird\thunderbird.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm

Hallo achschneider,

scanne dein System mal mit escan

chaosman

Ich hab das System jetzt mit escan gescannt. Dabei kam dann das hier raus:

Sun Apr 09 20:39:39 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sun Apr 09 20:39:39 2006 => Loading Spyware Signatures from new External Database (Size: 154683).
Sun Apr 09 20:39:39 2006 => Indexed Spyware Databases Successfully Created...

Sun Apr 09 20:39:44 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen.
Sun Apr 09 20:39:46 2006 => Offending Key found: HKLM\Software\freshdevices !!!
Sun Apr 09 20:39:46 2006 => Object "fresh devices Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sun Apr 09 20:39:46 2006 => Offending Key found: HKCU\Software\freshdevices !!!
Sun Apr 09 20:39:46 2006 => Object "fresh devices Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Hab mal in der Registry nachgeschaut. Unter FreshDevices ist jeweils noch ein Unterordner: FreshDiagnose
Bei HKLM ist in beiden Ordnern kein Eintrag.
Bei HKCU ist in FreshDevices kein Eintrag, unter FreshDiagnose zwei:
- Install 00 00 00 00 80 c6 e2 40
- Version "6.90"

Ist wohl eher der Install-Eintrag, oder? Soll ich den löschen?
Warum gibt escan einen Fund in einem Key an, der gar keine Eintrtäge enthält?
Wie finde ich raus welche Datei(en) zum Schädling gehören, dass ich sie löschen kann?
Und gibt's sonst noch was, was ich tun sollte?

Kann mir jemand weiterhelfen? Wie werd ich den Schädling los?

eScan versucht ab und an die Hühner aufzuschrecken. Da keine Datei beanstandet wird, würde ich mir über die Infektionsmeldung keine Gedanken machen.
Könntest Du Deinen Infektionsverdacht etwas präzisieren?

Klar kann ich den präzisieren. Wenn ich online bin, springt meine Maus phasenweise extrem schnell in die Ecken. Mir wurde zwar schon gesagt, dass das bei einer optischen Maus schon mal vorkommen könne, aber es ist noch nie vorgekommen, während ich offline war.

Wie sieht's denn mit dem HijackThis Log aus? Gibt's da keine Anzeichen für Schädlinge? Ich hatte Chaosmans Antwort so verstanden, als ob es ein Problem gäbe, welches ich mit escan lösen könnte. Hab ich das falsch verstanden und der Log ist doch sauber?

Servus!

Nun, so wie ich chaosman's post verstanden habe, hat er Dir bloß empfohlen, einen Virenscan mit escan laufen zu lassen (ich kann da keinen weiterführenden Unterton herauslesen - zumal das HJT Log sauber erscheint)
Und MM hat Dir ja schon richtigerweise gepostet, dass escan gerne mal auf den Busch klopft, um seine vermeintliche Leistungsfähigkeit zu demonstrieren (und die Anschaffung der Kaufversion zu pushen - wie jeder Gratisscanner mehr oder weniger)

Zu Deinem Mauszeigerproblem: Ich glaube nicht, dass hier Malware im Spiel ist - guck mal hier, vielleicht hilft Dir ja schon dieser Tipp weiter.
Ansonsten würde ich mal den Maustreiber checken (neuere Version etc..)

stupormundi

Da bin ich aber froh, dass da wohl doch nichts ist.
Werde mich dann mal dem Maustreiber widmen.
Danke für die Hilfe