Hallo alle

Ich habe seit ca. 1-2 Monaten ein Problem, folgendes:
Wenn ich mein Notebook starte, is alles normal, logge mich ein und dann kann ich die Maus nicht mehr bewegen! Ich logge mich automatisch (!) ins MSN ein und der loescht mir meine Kontakte und macht sonst was und kann halt nichts machen, Avast findet nichts mehr. Jetzt muss ich immer im abgesicherten Modus surfen, das nervt echt. -.-

Danke fuers Lesen

mfG

Zitat:

Avast findet nichts mehr.

Was heißt "nicht mehr", was hat der denn vorher gefunden? Bitte genaue Schädlingsnamen mit Pfaden posten, sofern du diese Infos noch hast, schau dazu ggf. ins Log des Virenscanners nach.
Poste bitte auch ein Hijackthis-Logfile.

Wo finde ich das Log des Virenscanners? Sorry, ich kenn mich nicht allzu gut damit aus.


Hier der Scan:

Logfile of HijackThis v1.99.1
Scan saved at 11:46:49 AM, on 7/6/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe (dieses File findet es manchmal nicht, weiss jemand warum?)
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dllcache\winsony.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\System32\wimnini.exe
C:\WINDOWS\System32\sysmgr32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Cablecom Assistant\bin\mpbtn.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\YYY\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ActiveScript32] C:\WINDOWS\System32\sysmgr32.exe
O4 - HKLM\..\RunServices: [ActiveScript32] C:\WINDOWS\System32\sysmgr32.exe
O4 - HKCU\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Injection Blocker - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe

Ich freue mich auf eure Antworten, letztes Mal konntet ihr mir auch helfen ^^

Zitat:

Wo finde ich das Log des Virenscanners? Sorry, ich kenn mich nicht allzu gut damit aus.

Ist auch nicht mehr nötig, denn dein System ist völlig im Eimer, und es liegt auch auf der Hand warum:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Das System ist ungepatcht und verwundbar! Hier fehlt mindestens das SP2!

Zitat:

C:\WINDOWS\system32\lsass.exe (dieses File findet es manchmal nicht, weiss jemand warum?)

LSASS.EXE in System32 ist eine Windows-Systemdatei.Evtl. hat sich bei dir eine andere Datei mit gleichem Namen in einem anderen Ordner eingenistet (zwei Dateien mit gleichem Namen im selben Ordner geht nicht...)

Zitat:

C:\WINDOWS\System32\dllcache\winsony.exe
C:\WINDOWS\System32\wimnini.exe
C:\WINDOWS\System32\sysmgr32.exe
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Remote Injection Blocker - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe

Diverse Schädlinge: Backdoors, Keylogger etc.
Eindeutig klarer Fall: System umgehend physikalisch vom Internet trennen, neu aufsetzen, absichern, erst dann wieder ins Netz und umgehend alle Passwörter ändern. Falls du online banking betreibst, Kontostand im Auge behalten

Kann ich die Keylogger bzw. Backdoor-Trojaner nicht deleten mit Avast? Weil sonst muss ich n Teil auf den USB Stick schmeissen.

Sind meine Mail Konten sehr gefaehrdet?

Zitat:

Zitat von Hello World-Programm

Kann ich die Keylogger bzw. Backdoor-Trojaner nicht deleten mit Avast? Weil sonst muss ich n Teil auf den USB Stick schmeissen

Nein geht nicht. Wie ich schon sagte ist das System völlig im Eimer, nix mit Löschen dieser Dateien, das wird nichts ändern.

Okey, dann danke ich dir sehr und formatiere kurz das Notebook, muss ich NTFS oder NTFS (Quick) nehmen? Ich nahm immer Quick da das andere immer bei 61% stecken blieb.

Quick sollte ausreichen.
Normal ist es aber nicht, dass beim normalen Formatieren der Rechner abstürzt. Könnte auf Festplattenprobleme deuten.
Achte unbedingt darauf, dass das SP2 offline eingespielt wird.

Zitat:

Zitat von cosinus

Achte unbedingt darauf, dass das SP2 offline eingespielt wird.

Das geht bei mir leider nicht, da die CD-Rom sehr alt ist und sie nur dsa SP 1 hat, und kenn auch niemanden in der Naehe, der SP 2 auf CD hat.

Wenn ich wieder On bin, poste ich noch n HijackThis File, dann kannst du gucken, ob eventuell noch was drauf waere, hoffe nicht.

CYA

Da muss es ne Möglichkeit geben, frag einen bekannten mit sauberem System, ob er das nich schnell auf CD brennen kann. Oder besorg dir ne Knoppix-CD und lad es da runter. Man, das SP2 gibtes seit fast drei Jahren, und du hast das nicht irgendwo auf CD? Kann doch nicht angehen...

Zitat:

Wenn ich wieder On bin, poste ich noch n HijackThis File, dann kannst du gucken, ob eventuell noch was drauf waere, hoffe nicht.

Wenn du richtig neu aufgesetzt hast, gibt es keinen Grund nochmal zu analysieren. Komm aber nicht auf die Idee, ohne das SP2 ins Internet zu gehen.

So, nach laengerer Installation des SP2s bin ich wieder im abgesicherten Modus drin -.- Mein I-Net geht nur im abgs. M. jetzt, kA warum, noch der Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:00:10, on 06.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Opera\Opera.exe
C:\DOCUME~1\Kevin\LOCALS~1\Temp\Rar$EX00.204\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hispeed.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [Nex] C:\WINDOWS\System32\nex.exe
O4 - HKLM\..\Run: [Winamp Media] C:\WINDOWS\system32\qmedia.exe
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MotiveReportAgent] "C:\Program Files\Common Files\Motive\McciBootStrapper.exe" /url="-url=file://C:\Program Files\Common Files\Motive\ReportAgent.html" /browsertype=CustomMSIE /browserpath="C:\Program Files\Common Files\Motive\MotiveBrowser.exe" /hidden
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Winamp Media] C:\WINDOWS\system32\qmedia.exe
O4 - HKCU\..\Run: [Nex] C:\WINDOWS\System32\nex.exe
O4 - HKCU\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.exe
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O4 - Global Startup: icq.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


PS: Wie kann man aus diesen Logs herauslesen was Abfall ist?

Das SP2 bewahrt dich nicht vor einem Neuaufsetzen!
Zu den bereits bekannten Backdoorbefällen:

Zitat:

C:\WINDOWS\System32\dllcache\winsony.exe
C:\WINDOWS\System32\wimnini.exe
C:\WINDOWS\System32\sysmgr32.exe
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Remote Injection Blocker - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe

Gesellen sich jetzt noch mehr:

Zitat:

O4 - HKLM\..\Run: [Nex] C:\WINDOWS\System32\nex.exe
O4 - HKLM\..\Run: [Winamp Media] C:\WINDOWS\system32\qmedia.exe
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.exe
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKCU\..\Run: [Winamp Media] C:\WINDOWS\system32\qmedia.exe
O4 - HKCU\..\Run: [Nex] C:\WINDOWS\System32\nex.exe
O4 - HKCU\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.ex

Übrigens ist das Log nicht vollständig, da fehlen die letzten Zeilen über eingetragene Dienste etc. Ist aber auch irrelevant.

Unbedingt Neuaufsezten!!! <klick> Auf jedenfall auch sämtliche Passwörter ändern und nen Auge aufs Onlinebanking behalten, solltest du sowas von der Kiste aus betrieben haben!


Den Müll in solchen Logs findet man übrigens indem man jeden Eintrag, jede Datei, die man nicht als gut identifizieren kann googelt und nach seriösen Seiten (microsoft, castlecops, avira, sophos...) schaut auf denen die Datei und ihre Existenz erklärt werden.
lg myrtille

Ich habe vorher neu augesetzt, was nun?! Bedeutet das die Trojaner irgendwie auf meiner Reboot CD sind?

Du hast neuaufgesetzt?

Warst du evtl ohne SP2 im Internet? Das würde einiges erklären. Ansonsten bleibt eigentlich nur die Möglichkeit, dass die Trojaner auf deiner Windowscd sind, was mehr als unwahrscheinlich ist, da es nicht dieselben Burschen sind, die du vorher an Bord hattest.

Ich würd allerdings zum neuinstallieren ne originalwindowscd/recoverycd nehmen, da diese nicht kompromittiert sind.

Was hast du denn bisher außer Windows noch installiert?

lg myrtille

Ja war ich, sonst haette ich SP2 nicht downloaden koennen =(

Ich habe Avast, Opera, HiJackThis, WinRar und messchange gedownloadet.

Wo bekomme ich so eine Recovery CD?