Seit ein paar Tage verhält sich mein PC seltsam: Zuerst ertönten immer wieder Beeps (die, die immer bei einer Fehlermeldung kommen), ohne dass ich etwas getan hätte und auch ohne eine Meldung. Aber heute begann er dann, ohne mich vor- und zurückzunavigieren oder beim Tippen begann der Cursor, sich selbstständig zu machen und Buchstaben einzugeben, ohne dass ich tippte.
Hab den PC vorgestern mit AntiVir gescannt, zwei Viren gefunden und gelöscht. Heute erneuter Scan, kein Ergebnis. Kann sich das einer von euch bitte kurz anschauen, ob ihr aus meinem Logfile schlau werdet (den IE benutz ich übrigens fast nie):


Logfile of HijackThis v1.99.1
Scan saved at 21:26:54, on 13.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\sipgate X-Lite\sipgateXLite.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Miranda ME 2.0 RC2\miranda32.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programme\Cisco Systems VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\CTPdeSrv.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.asus.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = XXXPRIVATXXX
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = XXXPRIVATXXX
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\sipgate X-Lite\sipgateXLite.exe"
O4 - Startup: Miranda ME.lnk = C:\Programme\Miranda ME 2.0 RC2\miranda32.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.asus.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159357429570
O17 - HKLM\System\CCS\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: Domain = XXXXPRIVATXXXX
O17 - HKLM\System\CCS\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: NameServer = XXXXPRIVATXXXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: Domain = XXXXPRIVATXXXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: NameServer = XXXXPRIVATXXXX
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems VPN Client\cvpnd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

AntiVir bringt übrigens zwei Warnungen, es betrifft zum einen die C:\pagefile.sys und die C:\hiberfil.sys:


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\pagefile.sys'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Sind die harmlos oder steckt da was dahinter?

Zitat:

Zitat von UlfsHeizung

AntiVir bringt übrigens zwei Warnungen, es betrifft zum einen die C:\pagefile.sys und die C:\hiberfil.sys:


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\pagefile.sys'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Sind die harmlos oder steckt da was dahinter?

Also ich weiss dass es meist nicht sehr hilfreich ist wenn sich "Laien" wie ich es bin "erdreisten" hier zu antworten, aber ich bin mir ziemlich sicher dass es an den beiden Dateien nicht liegt. Hatte das Problem selber und hab hier im Forum und im Google einiges dazu gefunden, die Dateien betreffen die Auslagerungsdatei von Windows und den Ruhezustand (oder so ähnlich) und es kommt relativ häufig vor dass das Betriebssystem dem Virenscanner darauf den Zugriff verweigert.

Ich will den Thread doch nochmal vorholen, da ich mittlerweile sogar schon "Nachrichten" auf den Bildschirm gekriegt hab (beim Schreiben eines Word-Dokuments tippte es ohne mein Mitwirken los, à la: "Wir müssen nch wegen Smstag etwa s besprechen")...
Seht ihr noch ne Möglichkeit, die Sache zu retten, ohne alles plattzumachen (das hab ich zwar eh vor, aber erst in zwei Wochen, da ich bis dahin absolut keine Zeit dafür hab)? Brauche Hilfe, schonmal danke dafür!

Zu TomFlinz:
Ich bin auch nur Laie, wie viele andere auch hier. Du "erdreistest" Dir nichts, wenn Du gut recherchierst und Dein Wissen weitergibst. Davon lebt dieses Forum.

Zu UlfsHeizung (Wo hast Du eigentl. diesen Nick her?) :
Aus Deinem Log ist zunächst nichts gravierendes zu erkennen. Deshalb würde ich einen scan Deines Systems vorschlagen:
http://www.trojaner-board.de/38066-e...ightymarc.html
Das Ergebnis dieses scans postest du mit der sog. "find-bat", die ist in der Anleitung enthalten.
Desweiteren kannst Du mal folgende Datei bei Virustotal überprüfen lassen: http://www.virustotal.com/en/indexf.html
C:\Programme\PartyPoker\PartyPoker\RunApp.exe

Alternativ bei Jotti, sollte Virustotal nicht funktionieren:
Online malware scan

EDIT: Hi myrtille. Irgendwie heut Server-Probs. Aber liegen ja beide "fast" über ein!

Wenn jemand zu Zugang zu deinem Rechner hat, hilft nur noch neuaufsetzen. Ein hübsche Anleitung gibt es hier: Neuaufsetzen

Falls du dein System noch überprüfen willst, um zu sehen was dich da befallen hat kannst du mal eScan drüberlaufen lassen. (Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)
Außerdem noch ein Log von silentrunner-log und Blacklight erstellen.

Es führt am Neuaufsetzen allerdings kein Weg vorbei! Die sicherste Variante wäre bis zum Neuaufsetzen den Rechner vom Netz zu nehmen.

@TOM:
Du hast recht, die Dateien gehören zu Windows, sind mE Auslagerungsdateien (?), wobei die hyberfil.sys zb für die Speicherungen beim Ruhezustand zuständig ist.

lg myritlle

EDIT: und wie immer zu langsam. Hi Mobius!

Ich tat wie mir gehießen, aber erhielt nur die leere Formular-Datei von der bat-Datei erzeugt. Mag möglicherweise daran liegen, dass mein PC sich geweigert hat, im abgesichterten Modus zu booten (einige Male versucht und immer ist er normal gestartet). Immerhin fand der eScan 9 Viren/Spyware..

Die PartyPoker-Datei enthielt tatsächlich etwas: Trojan-Clicker.Win32.Agent.jm


Jetzt die Frage: Wäre es fatal, noch anderthalb Wochen mit dem PC zu arbeiten, bevor ich ihn neu aufsetze?
Und ganz allgemein: Reicht es, die C:-Partition zu formatieren? Denn auf der anderen liegen meine Daten und die würde ich gerne behalten (das letzte Backup liegt ein wenig zurück)... denn die auf einen anderen PC kopieren wäre nicht sonderlich klug, oder?

Zitat:

Zitat von UlfsHeizung

Ich tat wie mir gehießen, aber erhielt nur die leere Formular-Datei von der bat-Datei erzeugt.

Kannst du mal bitte das mwav.log (sollte unter %temp%\mwav.log zu finden sein) bei file-upload.net hochladen und den link hier reinstellen? Wär nett. Danke

Funzt natürlich nur, wenn du die temporären Dateien nicht nach dem scan gelöscht hast. Alternativ suche mal nach c:\bases_x\mwav_clean.log. Grüße

cheers Mobius *mich interessiert nur das log, nicht der thread... und weg....*

Jepp, ordell 1234 (Gruß) nun mal schneller *g*.
Wenn Du schon das mwav.log nachreichst, dann bitte auch das Ergebnis von Virustotal.....


Edit: Ich weiss auch warum ;-) . Prost ordell

Hier das MWAV.log:
Und das Ergebnis von Virustotal (ich hab die ganzen Scanner, die nichts gefunden haben, rausgelöscht):

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	Last Update  	Result

Ikarus		T3.1.1.8	2007.07.17	Trojan-Clicker.Win32.Agent.jm

Webwasher-Gateway	6.0.1	2007.07.17	no virus found
Aditional information
File size: 110592 bytes
MD5: ac3ed9f87d8753783a0ecaf9c0d77069
SHA1: 351ad1662801b5367b004a839f500a7b12bec2f2
         

Danke für eure Mühen!

Hi
zweierlei:
1) Das Mwav_clean.log ist bereits ein Zwischenprodukt der find.bat und nicht ihr ursprünglicher Zustand. Solltest du das mwav.log nicht finden wäre es gut, wenn du uns noch das mwav_cut.log zur Verfügungstellen könntest. Das enthält in der Regel nämlich die interessanten Teile.

2) Virustotal wertet deinen Datei mit über 20 Antivirenprogrammen aus. Mache den Scan bitte nochmal und warte, bis oben "current status:finished" steht und poste das Ergebnis dann erneut hier.

lg myrtille

Jetzt hoffentlich das richtige MWAV.log.

Zu Virustotal: Ich hab den Test schon komplett durchlaufen lassen, aber hab nur die relevante Zeile reinkopiert. Die anderen Scanner hatten alle nichts gefunden, nur Ikarus wurde fündig. Deswegen hab ich mir gedacht, dass der reicht

Merci für die Dateien. Also bei mir funzt der Laden. Ich stell mal das eingedampfte log der find.bat für die fleißigen Helferlein hier rein. Gruß vom Faultier

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version:
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cws.loadbat Browser Hijacker (hp.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with clipgenie Spyware/Adware (player.html)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\Eigene Dateien\Downloads\mirc614.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.614. Keine Aktion vorgenommen.

~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: D:\Eigene Dateien\downloads\leecher\flp-l33cher\updater.exe
Offending file found: D:\Eigene Dateien\downloads\macromedia mx 2004\dreamweaver mx 2004\plugins\p7_carringtonpress\carrington_press\auth\hp.htm
Offending file found: D:\Eigene Dateien\musik\basshilfe\bass\faq\player.html

~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...

~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\ICQLite\ICQPhone.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\ICQLite\MIBFlashCtrl.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...

~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 112861
Gefundene Viren: 9
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 57
Dauer des Scans bisher: 01:55:16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:34:46,31
Batchende: 18:35:38,48

Danke ordell für den guten Service

Zu UlfsHeizung : Bitte lasse diese Datei unbedingt bei Virusttotal überprüfen und poste das gesamte Ergebnis des scans:
updater.exe
Ich kann mich auch irren, aber im Zusammenhang mit dem IRC-Clienten (Baut eine Verbindung zu einem IRC-Server auf) habe ich da einen bösen Verdacht.

Nach dem Ergebnis wird sich zeigen, ob sich eine Bereinigung überhaupt lohnt.

Die updater.exe bei Virustotal:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	Last Update  	Result
AhnLab-V3	2007.7.14.0	2007.07.17	no virus found
AntiVir		7.4.0.42	2007.07.17	no virus found
Authentium	4.93.8		2007.07.17	no virus found
Avast		4.7.997.0	2007.07.17	no virus found
AVG		7.5.0.476	2007.07.17	no virus found
BitDefender	7.2		2007.07.17	no virus found
CAT-QuickHeal	9.00		2007.07.17	no virus found
ClamAV	devel-20070416		2007.07.17	no virus found
DrWeb		4.33		2007.07.17	no virus found
eSafe		7.0.15.0	2007.07.17	suspicious Trojan/Worm
eTrust-Vet	30.8.3789	2007.07.17	no virus found
Ewido		4.0		2007.07.17	no virus found
FileAdvisor	1		2007.07.17	no virus found
Fortinet	2.91.0.0	2007.07.17	no virus found
F-Prot		4.3.2.48	2007.07.17	no virus found
F-Secure	6.70.13030.0	2007.07.17	no virus found
Ikarus		T3.1.1.8	2007.07.17	no virus found
Kaspersky	4.0.2.24	2007.07.17	no virus found
McAfee		5076		2007.07.17	no virus found
Microsoft	1.2704		2007.07.17	no virus found
NOD32v2		2403		2007.07.17	no virus found
Norman		5.80.02		2007.07.17	no virus found
Panda		9.0.0.4		2007.07.17	Suspicious file
Sophos		4.19.0		2007.07.17	no virus found
Sunbelt		2.2.907.0	2007.07.16	no virus found
Symantec	10		2007.07.17	no virus found
TheHacker	6.1.7.148	2007.07.16	no virus found
VBA32		3.12.2		2007.07.17	no virus found
VirusBuster	4.3.23:9	2007.07.17	no virus found
Webwasher-Gateway	6.0.1	2007.07.17	no virus found
Aditional information
File size: 181248 bytes
MD5: dba43263af6d4d1c373acacefe5773c5
SHA1: 55e216e7f506879bd9cffea2da565585ea2ba974
packers: UPX
packers: UPX
packers: UPX
         

Tut mir leid, dass das so verrissen ist, aber als ich gerade versuchen wollte, die Spalten anzupassen, hat mir mein Plagegeist keine Ruhe gelassen und mich nicht arbeiten lassen. Interessant, dass ich nur abends was von ihm merk, tagsüber herrscht hier Ruhe und Ordnung

EDIT: Jetzt hat's geklappt...