Ich hab mir da wohl einen wurm oder so eingefangen, nach dem hochfahren fängt mein Mauszeiger wie wild an immer hin und her zu sausen. Alles nachdem ich ein Programm Namens Keygenerator.exe gestartet hab. Wenn ich im Taskmanager den Task Keygenerator.exe beende ist alles wieder ok, bis auf das der Rechner langsam ist wie sau aber beim nächsten Start ist wieder alles das gleiche.
Habe den AVG free Virenscanner durchlaufen lassen und der hat nichts gefunden und auch diverse Anti Spy programme konnten nichts finden.
Ich hab mal im Netz gesucht und bin auf diesen Wurm gestoßen W32/Backterra-C oder bzw. diesen W32/P2pVB-CJ.
Jeddoch weiß ich nicht wie ich das jetzt wieder hinbekommen kann. Kann mir irgend jemand helfen????

Gruß Liquid

Ich weiß nicht ob das der Wurm ist den ich habe aber das ist der Stand und nun bin ich mit meinem Latein am Ende.

Ich hoffe das mir einer von Euch helfen kann.

Kann man sowas überhaupt löschen oder soll ich lieber gleich die Festplatte platt machen?

Gruß Liquid

Hallo,

Erstelle bitte ein HijackThis Log! Klick . Poste es komplett und Editiere Deine Persönlichen Daten! ---> Anleitung genau Lesen!

Wo hast du diese exe her?
Wofür sollte die sein?

Hallo Mellosun,
Hijack liste kommt heute Abend, bin zur Zeit noch auf der Arbeit.

Woher darf man eigentlich nicht sagen aber ich sag mal so ich hab sie mir von einem bekannten Esel runtergeladen.

Ich wollte die .exe halt haben um mir einen Key selbst zu generieren, naja das ging ja mal gründlich in die Hose. Bzw. habe ich gedacht es wäre ein Keygenerator und kein Wurm.

Und da ich mit Diesen ganzen Wurm Zeugs völlig überfragt bin versuch ich es mal hier.

So hier nun der Log file, ich hab schon den Keygenerator entdeckt jedoch weiß ich net was ich jetzt machen muss.
Ich hoffe Ihr könnt mir da weiterhelfen.


Logfile of HijackThis v1.99.1
Scan saved at 19:04:05, on 14.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\Autodesk\Data Management Server 5\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\Programme\Razer\razerhid.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\DitExp.exe
D:\Programme\OnlineControl\ocontrol.exe
D:\Programme\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programme\Razer\razertra.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\Programme\Razer\razerofa.exe
C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
D:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MInfraIS.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = httw.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht.t-online.de/service/redir/tosw5_webtour.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [razer] D:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart17.exe
O4 - Global Startup: keygen.exe
O4 - Global Startup: OnlineControl.lnk = D:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.5.0_05) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk Inc - D:\Programme\Autodesk\Data Management Server 5\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk EDM Server - - D:\Programme\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: HPCTTZ - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HPCTTZ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSSQL$AUTODESKVAULT - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: SQLAgent$AUTODESKVAULT - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe

Im Global Startup taucht eine keygen.exe auf. Scanne diese Datei unter http://www.virustotal.com/ und poste uns die komplette Liste, die dann angezeigt wird, inklusive der "additional information".

Ok, das versuche ich mal aber dazu brauche ich noch folgende Info:

Ich soll den File an die E-mail anhänden der gescannt werden soll aber wie komme ich in den Global Startup oder kann ich das über den Hijack this machen? Kannst Du mir evtl. den Pfad nennen wie ich in den Global Startup komme?

Gruß Liquid

Versuche bitte über die Windows-Suchfunktion die Datei keygen.exe zu finden. Dann navigiere zu der Virustotal-Internetseite und lade die Datei dort hoch (rechts oben auf der Seite den entsprechenden Button betätigen). Warte das Ergebnis ab und poste es hier (mit allen Angaben).

Alles klar, ich habs geschafft.
Wie gehts jetzt weiter, soll ich das Programm einfach löschen?

Complete scanning result of "keygen.exe", received in VirusTotal at 03.15.2007, 21:29:25 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.15.0 03.15.2007 no virus found
AntiVir 7.3.1.43 03.15.2007 no virus found
Authentium 4.93.8 03.15.2007 is a security risk or a "backdoor" program
Avast 4.7.936.0 03.15.2007 no virus found
AVG 7.5.0.447 03.15.2007 no virus found
BitDefender 7.2 03.15.2007 Joke.Crazymouse
CAT-QuickHeal 9.00 03.15.2007 Joke(Not a virus)
ClamAV 0.90.1 03.15.2007 Joke.CrazyMouse-2
DrWeb 4.33 03.15.2007 no virus found
eSafe 7.0.14.0 03.15.2007 Joke.CrazyMouse
eTrust-Vet 30.6.3481 03.15.2007 Win32/CrazyMouse
Ewido 4.0 03.15.2007 no virus found
FileAdvisor 1 03.15.2007 no virus found
Fortinet 2.85.0.0 03.15.2007 Joke/Crazymouse
F-Prot 4.3.1.45 03.15.2007 W32/Dialer
F-Secure 6.70.13030.0 03.15.2007 no virus found
Ikarus T3.1.1.3 03.15.2007 Win32.Joke.CrazyMouse
Kaspersky 4.0.2.24 03.15.2007 no virus found
McAfee 4985 03.15.2007 potentially unwanted program Joke-CrazyMouse
Microsoft 1.2306 03.15.2007 Joke:Win32/MovingMouse.C
NOD32v2 2117 03.15.2007 no virus found
Norman 5.80.02 03.15.2007 no virus found
Panda 9.0.0.4 03.15.2007 Joke/Crazymouse
Prevx1 V2 03.15.2007 no virus found
Sophos 4.15.0 03.13.2007 Joke/CrazyMouse
Sunbelt 2.2.907.0 03.15.2007 Joke Program
Symantec 10 03.15.2007 Joke Program
TheHacker 6.1.6.076 03.15.2007 no virus found
UNA 1.83 03.15.2007 no virus found
VBA32 3.11.2 03.15.2007 Win32.Joke.CrazyMouse
VirusBuster 4.3.7:9 03.15.2007 no virus found

Aditional Information
File size: 20992 bytes
MD5: 1d055eece54b294364df4bcf135d0905
SHA1: 3abdb4afcce3083d005ce6b5dc0982281614e430

Guckst du hier: Joke/CrazyMouse - Joke - Sophos Bedrohungsanalyse

Geh bitte auf die Seite von Antivir und lade dort die Datei zur Prüfung rauf: Submit your sample. Mach das gleiche bei Kaspersky und F-Secure, dann können die ihre Antiviren-Listen aktualisieren.

Lösche dann die keygen.exe und fixe den Eintrag O4 - Global Startup: keygen.exe mit Hilfe von HijackThis. Damit dürfte der Spuk vorbei sein.

Hey Super,
das hat alles geklappt.
Besten Dank Jungs, kann das Forum nur weiter empfehlen. :aplaus:

Gruß Liquid