|
Log-Analyse und Auswertung: BuchstabendreherWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.08.2007, 11:34 | #1 |
| Buchstabendreher Hallo, seit heute leidet mein PC an merkwürdigen Buchstabendrehern. Schreibe ich texte (sei es Programmierend, word, dieses Eingabefeld, whatever) werden Buchstaben verdreht, bzw. der Cursor springt zurück. Sprich ich schreibe Computer und während ich comp schreibte, springt beim schreiben der Cursor vor den letzten Buchstaben und schreibt dort weiter, sodass ich z.B. cmpo oder ähnliches erhalte, wenn ich einfach so weiterschreiben würde. Logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:31:19, on 19.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\winamp.exe C:\WINDOWS\system32\spider.exe C:\Programme\CCleaner\ccleaner.exe C:\Programme\Filzip\Filzip.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOKUME~1\Superman\LOKALE~1\Temp\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 F0 - system.ini: Shell=Explorer.exe C:\windows\system32\msiexec16.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{D57D2D73-E5BA-40DC-BF48-48960AD1FB26}: NameServer = 10.255.255.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{E6FD0A11-E5E7-46C7-8C18-20F2719BC379}: NameServer = 192.168.2.1 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InterBase 7.5 Guardian gds_db (IBG_gds_db) - Borland Software Corporation - D:\Arbeit\Delphi\InterBase\bin\ibguard.exe O23 - Service: InterBase 7.5 Server gds_db (IBS_gds_db) - Borland Software Corporation - D:\Arbeit\Delphi\InterBase\bin\ibserver.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe Laut der Online-Auswertung keine Auffälligkeiten. Wie immer aktuell gehaltener AntiVir ohne Fund, kein Unnormaler Netztraffic, woran könnte das plötzliche auftreten der buchstabendrehern liegen? MfG Tom Schröder |
19.08.2007, 11:46 | #2 |
| Buchstabendreher Hallo
__________________mach bitte zuerst alle versteckten Dateien und Ordner sichtbar. Lasse bitte diese Datei(en) C:\windows\system32\msiexec16.exe hier Virustotal hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070807) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
19.08.2007, 11:50 | #3 |
| Buchstabendreher Hallo,
__________________auf die Idee bin ich gerade auch gekommen! Kleiner Wehrmutstropfen: Diese Datei existiert nicht. (Ja ich bin auf Alle Dateien anzeigen [...] msieftp.dll msiexec.exe msihnd.dll [...] Kein msiexec16... |
19.08.2007, 11:59 | #4 | |
| Buchstabendreher Hallo der Eintrag gefällt mir überhaupt nicht es scheint dabei um diesen ekligen Gesellen zu handeln --> Worm/RBot.174080.3 - Vollständig und das kann er : Zitat:
Ändere nach der Neuinstallation unbedingt alle deine Pass/Kennwörter, diese dürften in deinem Fall nicht mehr sicher sein. MFG |
19.08.2007, 12:19 | #5 |
| Buchstabendreher argh ich weiß schon warum ich hauptsächlich auf Ubuntu arbeite und Windows nur zum Daddeln hab... Der hört sich in der Tat nicht gut an, aber: Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt: – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run • "System Service"="msnwindows.exe" – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices • "System Service"="msnwindows.exe – HKCU\Software\Microsoft\OLE • "System Service"="msnwindows.exe" – HKLM\SOFTWARE\Microsoft\Ole Alter Wert: • "EnableDCOM"=%Einstellungen des Benutzers% Neuer Wert: • "EnableDCOM"="N" – HKLM\SYSTEM\CurrentControlSet\Control\Lsa Alter Wert: • "restrictanonymous"=%Einstellungen des Benutzers% Neuer Wert: • "restrictanonymous"=dword:00000001 Dies ist bei mir *nicht* der Fall. Diese Einträge sind alle ok. Eine Kopie seiner selbst wird hier erzeugt: • %SYSDIR%\msnwindows.exe Die anfänglich ausgeführte Kopie der Malware wird gelöscht. (Deswegen vermute ich mal, gibt es die MSIEXEC16 nicht mehr...) Aber: msnwindows.exe gibt es ebenfalls nicht. Liste der Prozesse die beendet werden: *lange Liste* Virenscanner und ähnliches wird allerdings nicht beendet! Kann man sich irgendwo eine Fake-Test-Datei herbekommen, welche KEINEN virus oder ähnliches beinhaltet, aber auf die antivir anspringt? So würd ich dann testen obs noch ordentlich kontrolliert... MfG Tom |
19.08.2007, 12:31 | #6 |
| Buchstabendreher Hallo unumstritten bleibt, dass du einen Schädling auf dem System hattest, dieser Eintrag erstellt sich nicht von selbst (evtl. mal nach Optix Pro googeln), da die Onlineauswertung nicht geklappt hat muss man sich auf das verlassen was Google einem liefert Testvirus downloaden und testen ob der Antivirus den erkennt MFG |
19.08.2007, 12:47 | #7 |
| Buchstabendreher Also erstemal Danke für die Hilfe. Dann werd ich gleich auch nochmal Knoppiccilin auspacken und alles drüber testen. Danke für die Hilfe, sollte ich weitere Informationen finden, werde ich es hier Posten. Schönen Sonntag noch Tom EDIT: Auf die Testviren ist antivir sofort angesprungen, die Dienste sind nicht beeinträchtigt. |
Themen zu Buchstabendreher |
adobe, antivir, avira, bho, cursor, dateien, excel, explorer, firefox, helper, hijack, hijackthis, hotkey, internet, internet explorer, microsoft, mozilla, mozilla firefox, msiexec, pdf, programme, software, system, system32, temp, windows, windows xp |