Hallo, nachdem ich seit zwei Jahren geärgert werde und alles wie unten beschrieben versucht habe, versuch ich es mal auf diesem Weg, vielleicht kann mir ja ein Crack helfen. Trotz Firewalls, diversen Scans, Neuinstallationen hab ich immer wieder die gleichen Probleme. Meine Maus wandert wie von Geisterhand über den Monitor, Fenster werden geschlossen, laut Zonealarm wählen sich immer wieder die gleichen Typen ein (Quell-DNS mit so ominösen Namen wie 1, KD, in-addr.arpa (der is ganz besonders lästig, ;-)).

Anbei also mein Logfile von Hijack this:

Logfile of HijackThis v1.98.2
Scan saved at 13:09:05, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\DitExp.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2scan.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\a2 free\a2scan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\mi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092945178684
O17 - HKLM\System\CCS\Services\Tcpip\..\{886A6A9F-2B80-4F9C-BFEC-85E3B4FCF61C}: NameServer = 213.20.173.11 193.189.244.205

Wer kann mir hier helfen? Bin nur einfacher Anwender, mittlerweile aber mit den Nerven ziemlich runter.

Tausend Dank

Tip: entpacke HJT in ein eigenes Verzeichnis, wegen der Backups.
Was verstehst du denn unter "Einwählen"? Kommt die Meldung eines Portscans? Hat außer dir noch jemand Zugang zu deinem Rechner?
Dass dein PC von jemandem gescannt wird, ist völlig normal und bedeutet noch nichts Schlimmes, entscheidend ist, dass es auf deinem System nichts gibt, was auf diese Connectversuche antwortet, die entsprechenden Meldungen der Firewalls tragen letztlich nur zur Verunsicherung bei. OB bei dir etwas antwortet, kann man allerdings noch nicht beantworten.

Befolge mal dies:

http://www.trojaner-board.de/42731-escan-anleitung.html

und poste danach ein neues Log.
(Dieser Eintrag ist für mich äußerst suspekt:

C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTr ay.exe

Hast du das installiert bzw. weisst du, was das sein soll?)

EDIT: das ist wohl ein PDA-Sync-Tool und daher nicht gefährlich.

Dann kenne ich zwar a2 nicht, aber das scheinen mir zuviele Einträge zu sein, hast du das mehrmals installiert?

C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2scan.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2start.exe

Du hast gleichzeitig auch noch Norton-Antivirus drauf, das ist selten gut, mehrere Hintergrundwächter behindern sich und das System.
Das könntest du auf jeden Fall fixen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Wie gesagt, poste mal ein neues Log nach E-Scan.

Wenn du allerdings seit 2 Jahren das Gefühl hast, dein PC wird fremdbestimmt, wäre eine Neuinstallation inklusive Konfiguration das Beste, ein paar Tips würden dann folgen.

EDIT2: Nachdem ich den obigen Eintrag als wahrscheinlich gut ansehen würde, fällt zumindest mir in diesem Log nichts wirklich Verdächtiges auf. Wild geraten KÖNNTE es sein, dass du vielleicht schlicht Probleme mit dem Maustreiber oder der Maus hast und die Firewall-Popups als Bedrohung ansiehst, die sie eigentlich nicht sind. Andererseits ist es natürlich auch möglich, dass sich etwas auf deinem Rechner befindet, dass in diesem Log nicht sichtbar wird.

Hallo Help,

@ MountainKing

schau mal hier: C:\WINDOWS\System32\wuauclt.exe

ich wollte auch gerade antworten, Du warst mal wieder schneller. Ich empfehle auch den eScan, dringend .. und dann ein neues Logfile, aber das schriebst Du ja bereits.

SD

Hi SD,

C:\WINDOWS\System32\wuauclt.exe

da hast du eventuell Recht, eigentlich ist das der richtige Ort für diese Datei und ich dachte eigentlich, der Trojaner, der eine gleichnamige anlegt, würde das dann in einem anderen Verzeichnis tun. Aber ist natürlich durchaus möglich, dass dies nicht/ nicht mehr der Fall ist. Danke für den Hinweis!

http://www.sophos.com/virusinfo/analyses/trojcultb.html


@ help

Mach mal Folgendes, schalte den dazugehörigen Dienst (Windows-Update) ab, unter Systemsteuerung/Verwaltung/Dienste/Automatische Updates. Wenn nach einem Neustart diese Datei immer noch im Taskmanager bzw. im HJT-Log ist, ist es ein Trojaner.

Hallo Help,

bitte sei so nett und poste auch das Logfile vom eScan ins Forum.
Danke.

SD

Zitat:

Meine Maus wandert wie von Geisterhand über den Monitor, Fenster werden geschlossen,

Das lässt insgesamt eher auf ein Hardwareproblem (-> Maus) schließen. Schon mal getauscht, z.B. eine USB-Mouse angeschlossen?

Zitat:

laut Zonealarm wählen sich immer wieder die gleichen Typen ein (Quell-DNS mit so ominösen Namen wie 1, KD, in-addr.arpa (der is ganz besonders lästig, ;-)).

Vergiss diese unsinnigen und lästigen Meldungen. Sichere dein System besser wie folgt ab:

- http://dingens.org
-> weitere Erläuterungen dazu siehe http://www.ntsvcfg.de

Hallo an alle,

das ging ja megaflott, danke für die Hilfe, weiß es echt zu schätzen. Bin aber blutiger Laie, wird daher etwas dauern, bis ich das alles abgearbeitet habe.

Anbei noch Dateien die immer wieder auf meinem Desktop abgelegt werden, vielleicht hilfts ja weiter:

Zitat:

Zitat von MountainKing

Hi SD,

C:\WINDOWS\System32\wuauclt.exe

da hast du eventuell Recht, eigentlich ist das der richtige Ort für diese Datei und ich dachte eigentlich, der Trojaner, der eine gleichnamige anlegt, würde das dann in einem anderen Verzeichnis tun. Aber ist natürlich durchaus möglich, dass dies nicht/ nicht mehr der Fall ist. Danke für den Hinweis!

http://www.sophos.com/virusinfo/analyses/trojcultb.html


@ help

Mach mal Folgendes, schalte den dazugehörigen Dienst (Windows-Update) ab, unter Systemsteuerung/Verwaltung/Dienste/Automatische Updates. Wenn nach einem Neustart diese Datei immer noch im Taskmanager bzw. im HJT-Log ist, ist es ein Trojaner.

Hi MountainKing,

hab ichversucht, unter Systemsteuerung gibts aber kein Verwaltung (XP?)?

Und nu?

Zitat:

Zitat von help2004

hab ich versucht, unter Systemsteuerung gibts aber kein Verwaltung (XP?)?

...es gibt aber Leistung und Wartung, unter dem die Verwaltung usw....

Hallo

Zitat:

schau mal hier: C:\WINDOWS\System32\wuauclt.exe

es ist ganz OK: http://www.neuber.com/taskmanager/de...auclt.exe.html
Wenn die Datei sich nicht im Unterverzeichnis \system32\ aufhielt - dann ist die Sache schief .

Zitat:

Zitat von Rene-gad

Hallo

es ist ganz OK: http://www.neuber.com/taskmanager/de...auclt.exe.html
Wenn die Datei sich nicht im Unterverzeichnis \system32\ aufhielt - dann ist die Sache schief .

Hi Rene-gad,

hab die Datei gesucht, und sie ist genau DORT!!!

wuauclt.exe unter C:\WINDOWS\system32

WUAUCLT.EXE-399A8E72.pf unter c:\windows\prefetch

Was tun?

Lieber Gruß

Du hast aber nicht das E-Scan-Log gepostet wuerde ich sagen, das sieht aus wie die Java-Konsole?