Hallo alle

Ich habe seit ca. 1-2 Monaten ein Problem, folgendes:
Wenn ich mein Notebook starte, is alles normal, logge mich ein und dann kann ich die Maus nicht mehr bewegen! Ich logge mich automatisch (!) ins MSN ein und der loescht mir meine Kontakte und macht sonst was und kann halt nichts machen, Avast findet nichts mehr. Jetzt muss ich immer im abgesicherten Modus surfen, das nervt echt. -.-

Danke fuers Lesen

mfG

Zitat:

Avast findet nichts mehr.

Was heißt "nicht mehr", was hat der denn vorher gefunden? Bitte genaue Schädlingsnamen mit Pfaden posten, sofern du diese Infos noch hast, schau dazu ggf. ins Log des Virenscanners nach.
Poste bitte auch ein Hijackthis-Logfile.

Wo finde ich das Log des Virenscanners? Sorry, ich kenn mich nicht allzu gut damit aus.


Hier der Scan:

Logfile of HijackThis v1.99.1
Scan saved at 11:46:49 AM, on 7/6/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe (dieses File findet es manchmal nicht, weiss jemand warum?)
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dllcache\winsony.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\System32\wimnini.exe
C:\WINDOWS\System32\sysmgr32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Cablecom Assistant\bin\mpbtn.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\YYY\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ActiveScript32] C:\WINDOWS\System32\sysmgr32.exe
O4 - HKLM\..\RunServices: [ActiveScript32] C:\WINDOWS\System32\sysmgr32.exe
O4 - HKCU\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Injection Blocker - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe

Ich freue mich auf eure Antworten, letztes Mal konntet ihr mir auch helfen ^^

Zitat:

Wo finde ich das Log des Virenscanners? Sorry, ich kenn mich nicht allzu gut damit aus.

Ist auch nicht mehr nötig, denn dein System ist völlig im Eimer, und es liegt auch auf der Hand warum:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Das System ist ungepatcht und verwundbar! Hier fehlt mindestens das SP2!

Zitat:

C:\WINDOWS\system32\lsass.exe (dieses File findet es manchmal nicht, weiss jemand warum?)

LSASS.EXE in System32 ist eine Windows-Systemdatei.Evtl. hat sich bei dir eine andere Datei mit gleichem Namen in einem anderen Ordner eingenistet (zwei Dateien mit gleichem Namen im selben Ordner geht nicht...)

Zitat:

C:\WINDOWS\System32\dllcache\winsony.exe
C:\WINDOWS\System32\wimnini.exe
C:\WINDOWS\System32\sysmgr32.exe
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Remote Injection Blocker - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe

Diverse Schädlinge: Backdoors, Keylogger etc.
Eindeutig klarer Fall: System umgehend physikalisch vom Internet trennen, neu aufsetzen, absichern, erst dann wieder ins Netz und umgehend alle Passwörter ändern. Falls du online banking betreibst, Kontostand im Auge behalten

Kann ich die Keylogger bzw. Backdoor-Trojaner nicht deleten mit Avast? Weil sonst muss ich n Teil auf den USB Stick schmeissen.

Sind meine Mail Konten sehr gefaehrdet?

Zitat:

Zitat von Hello World-Programm

Kann ich die Keylogger bzw. Backdoor-Trojaner nicht deleten mit Avast? Weil sonst muss ich n Teil auf den USB Stick schmeissen

Nein geht nicht. Wie ich schon sagte ist das System völlig im Eimer, nix mit Löschen dieser Dateien, das wird nichts ändern.

So, neu aufgesetzt, offline installiert und geloggt:

Logfile of HijackThis v1.99.1
Scan saved at 02:10:01, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Cablecom Assistant\bin\cablecom_assistant.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Program Files\Lavalys\EVEREST Home Edition\everest.bin
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Kevin\LOCALS~1\Temp\Rar$EX01.916\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hispeed.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://pansalto.cablecom.ch/wizlet/ReportAgent/reportAgentPrepare.do?embedded=false
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe



Sind noch Schaedlinge drauf?
PS: Warum steht dort was von Windows Messenger? Habe es nicht installiert-.-

Windows Messenger hat Windows für dich installiert beim Neuaufsetzen. Wie zb auch Internet Explorer, Windows Mediaplayer etc.
(Du kannst ihn aber glaube ich einfach unter Systemsteuerung->Software->Windowskomponenten deinstallieren)

09 sind Buttons in der Taskleiste vom IE, bzw Einträge im Kontextmenü, von denen geht selten Gefahr aus. Wenn du den Button aber nicht nutzen wirst, kannst du ihn natürlich fixen.

Ansonsten sieht dein Log jetzt sauber aus!

lg myrtille

Juhu, ich danke euch allen ^^

Jetzt noch was, um zu wissen, was bei einem Log infiziert sein koennte, muss man ja wissen was gut ist, also aus was Windows besteht, geht das auch anders, also das man es herauslesen kann? =D