Hey Leute,
Heute starte ich mit nem Mädel ne Icq-unterhaltung.. aufeinmal kann ich nichts mehr tippen und Maus bewegt sich nicht mehr, aufeinmal sehe ich wie sich da von alleine "Hure" eingetippt wird und sich abschickt irgendwie lustig aber auch ärgerlich weil ich der Dame dann erstmal erklären durfe das ich es nicht war .. das passierte dann aber noch 2 mal

so desweiteren wird mein Browser der öfteren einfach geschlossen und es wurde auf einmal "Steam" einfach wie angeklickt und wurde gestart...
fast so als ob wer auf meinem rechner selber rumfummeln würde..
auch friehrt der Bildschirm manchmal 2 sec einfach ein.

Mir kommts fast so vor als ob es nur Probs gibt wenn ich im Inet bin.

manchmal wie jetzt gerade gibts aber auch garkeine Probs..

so hier mal mein LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:46, on 22.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Dokumente und Einstellungen\Chriz\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /F "C:\WINDOWS\TEMP\E_S85.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\ csrss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CEE0721-19D1-4623-AFB3-394FAD9E76B3}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

--
End of file - 6093 bytes

danke schonmal für eure Hilfe.

Ich bin kein Profi, aber O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent hörst sich verdächtig an.
Kannst Du mir helfen? Ein Thema unter dir =]

@Da Game: Du hast 1 Trojaner drauf. Ich tipp ma auf ---. Hört sich zumindest stark danach an also wenn man ma die "symthome" die du aufgezählt hast betrachtet(nichts mehr tippen und Maus bewegt sich nicht mehr). Da ich es schon selber benutz habe *schäm* weiß ich das --- in der Lage ist ist deine maus samt tastertur zu blockieren und über ein livevideo von deinem bildschirm ist der gegenüber in der lage sachen auf dein bildschirm zu schreiben und deinem maus zu bewegen bzw programme zu öffnen etc also alles was du machen könntest.
Leider habe ich auch keine ahnung wie du den trojaner löschen kannst aber vll hilft es dir ja das du weißt das es einer ist und --- habe ich ihn genannt weil ich mir net sicher bin ob das so beim namen genannt werden darf.
Aber wenn du die IP des gegenüberhaben willst dann schieß doch mal alle programme wie icq den IE und etc und gen bei start>ausführen>netstat -n ein (beachte das leerzeichen bei -n) sollte da nur 1 verbindung angezeigt werden kannst du einfach die ip adresse des anderen aufschreiben und bissel googeln wo der sich befindet und undter welchen provider er läuft wenn dedas raus hast schick dem provider doch ma ne mail das sich sein kunden mit der und der ip gegen deinen willen mit hilfe eines remot admin tools zugriff auf deinen pc verschaft und er doch bitte etwas unternehmen möge ^^

sämtliche fehler im text sind bitte zu übersehnen und zu verschweigen)

Also das mit dem netstat -n funktioniert nicht, man sieht ganz kurz also milisec son schwarzes Feld aufpopen vllt so ähnlich wie MsDos.

Wäre echt gut wenn mir noch nen Tip geben könnte, ich möchte nicht schon wieder alles formatieren..,

und nurmal so die Frage was hat einer davon mir den Browser zu schließen und "hure" bei icq reinzuschreiben...? aber ist ja nicht sicher das da einer sitzt und das selber von Hand dann reintippt allerdings kann mans sich schon vorstellen.

Habe noch was rausgefunden: habe mir trojaner Remover gelanden und Folgendes kam dabei raus:
#############################################
The Windows Registry attempts to load this file at boot time:
C:\WINDOWS\system32\ csrss.exe

The file is load by the following Registry key:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Registry value Name:
Windows Update
###########################################

ausführen -> cmd.exe -> netstat -n
dann siehste das Fenster... ob das allerdings was bringt weiß ich nicht...

Tach erstmal
So so , mal wieder geht es um das gute , alte ICQ...hat dieses "Mädel" dir eine Datei geschickt ?
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\WINDOWS\system32\ csrss.exe

Bitte auf Virustotal.com auswerten lassen und vollständige Ergebnisse posten!

O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\ csrss.exe
Und das hier mit HijackThis fixen !

Guten Morgen,

Ne das Mädchen hat mir nichts geschickt war auch bei einer anderen so, also insgesamt bei 2 leuten(das da "hure" eingetippt wurde)

Virustotal fdm.exe:
Datei fdm.exe empfangen 2008.03.23 12:38:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.22 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.23 -
AVG 7.5.0.516 2008.03.22 -
BitDefender 7.2 2008.03.23 -
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.23 -
DrWeb 4.44.0.09170 2008.03.22 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.22 -
F-Prot 4.4.2.54 2008.03.22 -
F-Secure 6.70.13260.0 2008.03.21 -
FileAdvisor 1 2008.03.23 -
Fortinet 3.14.0.0 2008.03.23 -
Ikarus T3.1.1.20 2008.03.23 -
Kaspersky 7.0.0.125 2008.03.23 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.23 -
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.22 -
Prevx1 V2 2008.03.23 -
Rising 20.36.62.00 2008.03.23 -
Sophos 4.27.0 2008.03.23 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.23 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.22 -
Webwasher-Gateway 6.6.2 2008.03.23 -

weitere Informationen
File size: 2089007 bytes
MD5: fac797f021397e6d5c3a3db7cf4d6c67
SHA1: 969e78ae88e0fbbebb83c2e5ecbd028d5df7dce9
PEiD: Armadillo v1.71
#########################
csrss.exe:

Datei _csrss.exe empfangen 2008.03.23 12:51:13 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 14/32 (43.75%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.22 HEUR/Malware
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.23 Win32:Brabot-6
AVG 7.5.0.516 2008.03.22 BackDoor.Shark.B
BitDefender 7.2 2008.03.23 MemScan:Backdoor.Shark.BE
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.23 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.03.22 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.22 -
F-Prot 4.4.2.54 2008.03.22 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.03.21 SDBot.gen8
FileAdvisor 1 2008.03.23 -
Fortinet 3.14.0.0 2008.03.23 -
Ikarus T3.1.1.20 2008.03.23 Backdoor.Win32.Brabot.g
Kaspersky 7.0.0.125 2008.03.23 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.23 -
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 SDBot.gen8
Panda 9.0.0.4 2008.03.22 -
Prevx1 V2 2008.03.23 LoveBoom:Worm-a
Rising 20.36.62.00 2008.03.23 -
Sophos 4.27.0 2008.03.23 Sus/ComPack
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.23 Infostealer
TheHacker 6.2.92.252 2008.03.22 W32/Behav-Heuristic-064
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.22 -
Webwasher-Gateway 6.6.2 2008.03.23 Heuristic.Malware

eitere Informationen
File size: 1348005 bytes
MD5: afeb26b830bcd87c9bc6a932db2352fa
SHA1: 7a9ccdc3fc689018c1e021b059fcf8575d42dd17
PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies
packers: Themida
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=EB60CD53A55BEB7491AD14E5DEE741003AA8D73F
##########################

so da ist es, sry ich kann das nicht übersichtlicher hier reinkopieren.

ps wie fixe ich das mit hijackThis? ich bin da nicht so der Spezie und ich will nichts kaputt machen

ps Frohe Ostern

Du hast einen Backdoor drauf. Da hilft nur eins: Neuaufsetzen.http://www.trojaner-board.de/12154-a...sicherung.html
Ein Dritter steuert deinen Computer von fern und sieht alles was Du machst. Er hat die Kontrolle über dein PC. Warscheinlich hat er auch "Hu**" eingegeben.

So habe mein System neu Aufgesetzt