| |
| |||||||
Log-Analyse und Auswertung: Kann bitte jemand mit Sachverstand mal hier rüberschauen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.02.2008, 12:47
| #1 |
| |  Kann bitte jemand mit Sachverstand mal hier rüberschauen? Hallo Leute, gestern hatte ich mein erstes Erlebnis der 3. Art und jetzt benötige ich externe Hilfe - also z. B. die versammelte Fachkraft dieses Forums. Mein Mauszeiger machte sich plötzlich selbstständig, flitzte scheinbar unkontrolliert über den Bilddschirm, markierte Textteile, Menüs öffneten sich - seltsamerweise hauptsächlich über der Taskleiste, wobei der Spuk dann nach 5-10 Sekunden aufhörte. Dieses Verhalten trat "alle paar Minuten" mal auf, manchmal auch 15 Minuten gar nicht. Nach einiger Zeit stellte ich fest, wenn ich währen der Entführung die Maus auf den Kopf (Rückseite nach oben) drehe, flitzt der Zeiger nicht mehr herum. Trotzdem konnte ich dann für einige Sekunden die Fenster nicht kontrollieren (etwas schwierig zu erklären). Mit dem Stift meines Stiftetabletts hatte ich dann auch keinen Zugriff auf die Fenster. Ich habe auch während der "Entführung" mal meinen WLAN Adapter rausgezogen, trotzdem flitzte die Maus noch weiter. Auffällig fand ich, dass die Mausaktionen sehr häufig eine spezielle Firefox Erweiterung in einer Weise startete, wie ich sie selber noch nie genutzt hatte. Dabei handelte es sich um Cooliris - nutzt man um eine Preview auf Links zu haben, ohne sie zu öffnen. Aber man kann damit offensichtlich auch an der Bildlaufleiste in einem sog. Stack temporär Bookmarks sammeln. Das habe ich vorher noch nie gemacht, die Maus aber, sie öffnete ein kleines Fenster und packte dort beim Herumflitzen sehr oft Seiten rein. Ich nutze eine Fritz!Box als Firewall (lacht da jemand?), Avira Antivir als Vireprogramm, versuche Tasks, Services und Startups halbwegs unter Kontrolle zu behalten putze täglich die Platte mit TuneUp, führe soweit möglich zeitnah Updates durch und verlasse mich ansonsten zusätzlich auf meinen 7. Sinn (schon wieder Lachen?) und wie wir im Rheinland und auch am Niederrhein sagen: Et hätt’ noch immer jut jejange. Auf eine komplette Neuinstallation bin ich jedoch vorbereitet, was Backups usw. angeht, das wäre also ärgerlich und zeitraubend, aber (ungerne) machbar. Somit habe ich mich dann auch gleichzeitig als "gepflegt Halbwissender" geoutet  Natürlich habe ich versucht, der Sache auf den Grund zu gehen, Virencheck komplett durchlaufen lassen (was gefunden wurde, in Quarantäne geschickt), Hijack benutzt, Spybot benutzt (hier gab es einige verfolgende Cookies), diese Firefox Erweiterung abgeschaltet - aber was nutzt das alles nachträglich? Bei Hijackthis.de bin ich auch gewesen, habe mein logfile automatisch auswerten lassen. Das Programm stört sich im Grunde nur an einem Eintrag: O4 - HKUS\.DEFAULT\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection ... moniert wird: "Fuzzy Algorithmusprüfung (2.59 / 5.00), Schädlich" Kann ich so erstmal nichts mit anfangen. Mich stört dann der mit einem Fragezeichen versehene Eintrag: Unbekannt O8 - Extra context menu item: New &NetMark - D:\NetMarks Manager - Firefoxfavoriten Tool\OpenNM.htm Den bekomme ich so nicht weg, werde es aber nachher noch im abgesicherten Modus versuchen. Effekt ist, dass im IE (den ich normal nicht benutze) ein Eintrag zu diesem Programm vorhanden ist (rechte Maustaste), dass ich aber gar nicht installiert habe (möchte aber nicht ausschließen, dass ich es mal getestet habe). Gestern gab es noch einige Einträge mehr dazu, die ich aber gefixt habe. Nun bin ich heute Morgen seit ca. 2 Stunden online und bisher hat keine weitere "Entführung" stattgefunden, alles läuft normal. Ich hatte mir eigentlich vorgenommen, das System neu aufzusetzen, aber erstmal wollte ich es nochmal probieren und hier im Forum anfragen und jetzt - passiert tatsächlich nichts. War es "nur" ein Maus- oder Kontaktproblem oder sollte ich das System als korrumpiert ansehen? Hier jetzt noch mein logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:17:47, on 22.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20733) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe D:\xampp\apache\bin\apache.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Bonjour\mDNSResponder.exe D:\FRITZ!DSL - Fritz!Box\IGDCTRL.EXE D:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\Pen_Tablet.exe D:\Virtual CD v9 - CD Emulator\System\VC9SecS.exe D:\xampp\apache\bin\apache.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\oodtray.exe D:\Virtual CD v9 - CD Emulator\System\VC9Play.exe C:\Programme\avmwlanstick\wlangui.exe D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\FlashGet - Downloadmanager\FlashGet.exe D:\Adobe\Acrobat\Acrotray.exe C:\WINDOWS\system32\ctfmon.exe D:\Active Desktop Calendar\ADC.exe D:\Spybot - Search & Destroy\TeaTimer.exe D:\Virtual CD v9 - CD Emulator\System\VC9Tray.exe C:\WINDOWS\System32\svchost.exe D:\FRITZ!DSL - Fritz!Box\StCenter.exe D:\FRITZ!DSL - Fritz!Box\FwebProt.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe D:\Mozilla Firefox\firefox.exe D:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.yahoo.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\FlashGet - Downloadmanager\jccatch.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\FlashGet - Downloadmanager\getflash.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\Run: [VC9Player] D:\Virtual CD v9 - CD Emulator\System\VC9Play.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Flashget] D:\FlashGet - Downloadmanager\FlashGet.exe /min O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Adobe\Acrobat\Acrotray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Active Desktop Calendar] D:\Active Desktop Calendar\ADC.exe O4 - HKCU\..\Run: [QuickGammaLoader] D:\QuickGamma - Monitor Gamma einstellen\QuickGammaLoader.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = D:\FRITZ!DSL - Fritz!Box\FwebProt.exe O4 - Startup: WinMySQLadmin.lnk = D:\xampp\mysql\bin\winmysqladmin.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ? O8 - Extra context menu item: &Alles mit FlashGet laden - D:\FlashGet - Downloadmanager\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - D:\FlashGet - Downloadmanager\jc_link.htm O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: New &NetMark - D:\NetMarks Manager - Firefoxfavoriten Tool\OpenNM.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet - Downloadmanager\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet - Downloadmanager\FlashGet.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - hxxp://download.gigabyte.com.tw/object/Dldrv.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193833449140 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193833430984 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - D:\FRITZ!DSL - Fritz!Box\IGDCTRL.EXE O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - D:\Virtual CD v9 - CD Emulator\System\VC9SecS.exe -- End of file - 10772 bytes Vielen Dank für eure Hilfe und die Geduld beim Lesen. Viele Grüße Niederrheiner Geändert von Niederrheiner (22.02.2008 um 12:48 Uhr) Grund: Die Rechtschreibung ... |
|
23.02.2008, 00:12
| #2 | |||
| /// TB-Ausbilder     |  Kann bitte jemand mit Sachverstand mal hier rüberschauen? So Mausaussetzer sind meist eher Softwareprobleme als Trojanern zuzuordnen.
__________________Insbesondere, wenn das Geflitze tatsächlich aufhört, wenn du die Maus umdrehst, das kann kein Virus.  Zitat:
Zitat:
Zitat:
 Er wird weder als gut noch als böse erkannt.Kennst du denn das Programm? Hast du es selbst installiert? Sollte eigentlich auch in ORdnung sein. Logfile sieht soweit sauber aus. lg myritlle |
|
23.02.2008, 18:58
| #3 | |||
| |  Kann bitte jemand mit Sachverstand mal hier rüberschauen? Hallo Myrtille,
__________________danke für deine ausführliche Antwort, die mich ein wenig beruhigt hat. Zitat:
 falitz ... ssst ... Menü auf, zu, rauf, runter ... so ein Dreck, aber mich an deine Worte erinnert und nochmal den Mauskopftest gemacht, wobei sich ja die Kugel in der Maus von den Rollen löst. Dann flitzt die Maus wirklich nicht weiter. Allerdings kann ich in dem Moment auch nicht mit meinem Stift die Kontrolle über z. B. den geöffneten Browser übernehmen. Da hilft nur einige Sekunden warten, bis das Mäuserennen aufhört. Ich habe jetzt mal ganz tief im Schrank gewühlt und eine alte serielle Maus gefunden, bei der man bei der rechten Maustaste folgendermaßen vorgehen muss:  Aber es funktioniert jetzt seit 15 Minuten tadellos. Mal abwarten, vielleicht ist ja nur eine neue Maus fällig.Zitat:
 und die lagen noch in einem Verzeichnis "Softwaresicherung" und wurden dann mit TR/Agent.72704.A oder TR/Packed.1835 ausgelobt. Da die dort aber schon länger herumfaulen, denke ich nicht, dass die problematisch sind. Zitat:
Es zuckt immer noch nichts mit der neuen alten Maus - schaun' mer ma. Danke nochmal für deine Beurteilung. Prima, dass es das Board hier gibt. Grüße Niederrheiner |
|
23.02.2008, 19:49
| #4 | |||
| /// TB-Ausbilder | Kann bitte jemand mit Sachverstand mal hier rüberschauen?Zitat:
Du hast noch nen zusätzliches Eingabemedium neben Tastatur und Maus, sehe ich das richtig?Reagiert der Rechner nur auf Eingaben mit dem Stift nicht, oder gibt es auch bei der Tastatur Probleme? Zitat:
Die Abwesenheit von Infektionmeldungen weist dann nämlich eher auf einen gutversteckten Trojaner, als auf ein sauberes System. Zitat:
Mauszeiger die sich von Geisterhand bewegen, weil im Nachbarzimmer dieselbe Maus benutzt wird und der Empfänger deren Signal interpetiert. Am Rand klebender Mauszeiger wegen defekter Treiberinstallation Defekte Mäuse sind da noch das naheliegendste.  Allerdings hab ich es bisher bei Mausproblemen noch nicht erlebt, dass es sich um einen Virus handelt. Da warte ich noch drauf. lg myrtille |
|
| Themen zu Kann bitte jemand mit Sachverstand mal hier rüberschauen? |
| 5 minuten, abgesicherten modus, active desktop, antivir, auswerten, avira, bho, bonjour, computer, desktop, dsl, firefox, handel, hijack, hkus\s-1-5-18, internet, internet explorer, konvertieren, lache, logfile, mozilla, mozilla firefox, nicht installiert, pdf-datei, problem, quara, rundll, s-1-5-18, sekunden, software, stick, system, system neu, temporär, updates, verfolgende cookies, windows, windows xp |
Linear-Darstellung
