|
Plagegeister aller Art und deren Bekämpfung: Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.02.2009, 01:13 | #1 |
| Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! Guten Tag zusammen. Ich habe seit ca. 1 1/2 Wochen ein Problem mit meiner Maus und vermute eine Remote Attacke dahinter. Es gab bisher 3 Vorfälle. Das erste mal vor 1 1/2 Wochen, verlor ich plötzlich während des Spielen von WoW ( WorldofWarcraft) die Kontrolle über meine Maus. Die Maus begann wild hin und her zu fahren, ich drückte die Windows Taste, und sah dass sich verschiedene Ordner geöffnet hatten. Es hatte sich der Systemordner mit den installierten Programmen geöffnet und dieser wurde gerade mit Winrar gepackt und versucht per email verschickt zu werden. Bevor dies jedoch zu Ende gebracht werden konnte, zog ich den Internet Stecker. Daraufhin hab ich erstmal versucht das System auf Viren zu prüfen und habe sämtliche Windows Updates aktuallisiert. 3 Tage lang ist dann auch erst einmal nichts ungewöhnliches mehr passiert, bis sich dann der selbe Vorfall erneut ereignete, mit dem Unterschied , dass ich alle Programme zum packen und versenden deinstalliert hatte. Wieder wurde der gleiche Ordner wie oben beschrieben geöffnet und auch markiert, gleichzeitig wurde mein Emailprogramm geöffnet, da ich jedoch meine Konten gesperrt hatte, hörte der Spuk auch gleich wieder auf. Heute habe ich mein System komplett formatiert und nur das aller nötigste neu installiert ( bis zu diesem Zeitpunkt auch nur bis Servicepack 2 aktuallisiert), ich habe weder Emailkonten eingerichtet noch sonst irgendwelche Messenger oder Programme mit denen man Daten versenden könnte. 2 Stunden nach dem ich mit dem Einrichten soweit fertig war, begann ein neuer Angriff. Wieder die selben Anzeichen. Verlust über die Kontrolle der Maus, Ordner poppt auf wird markiert. Email Programm wird geöffnet, MSN wurde gestartet ...kurz darauf wieder alles ganz normal. Mir ist dabei aufgefallen: - dass diese Anomalien immer zwischen 22 und 1 Uhr Nachts statt finden. - Es handelt sich immer um den selben Ordner der aufgeht und kopiert werden soll. - dass immer neue Methoden, die Dateien zu versenden getestet wurden Ich besitze eine optical Maus von Logitech MX518 mit den aktuellsten SetPoint Treibern. Habe den Laser auch schon auf Staub überprüft. Hier mal das Logfile , nach dem 3ten Auftreten: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:12:26, on 28.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Download\HiJackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton 360 Online\osCheck.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: OneNote Inhaltsverzeichnis.onetoc2 O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: T-Online Dialerschutz Dienst (DFSVC) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe -- End of file - 6902 bytes Ich weiß nicht mehr weiter , wäre nett wenn einer dazu nen guten Tipp haette. Vielen Dank im Voraus Nagar |
28.02.2009, 08:48 | #2 | |
/// AVZ-Toolkit Guru | Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! Hallöle.
__________________Trenne den Rechner dringend vom Netz! => LAN-Stecker ziehen! Dieser Rechner sollte unter keine Umständen mehr Kommunikationsmöglichkeiten nach draußen haben! Alles was du aus dem Netz brauchst musst du von einem anderen PC herunterladen. Du hast Glück, dass du überhaupt bemerkst wenn jemand auf dem PC rumschnüffelt. Es kann ebenso gut sein, dass du von andern Vorgängen auf dem PC überhaupt nichts mitbekommst. Evtl. vertreilt dein Rechner grade munter Spam oder Kinderpronographie oder wird dazu genutzt weitere PCs zu hacken. Dafür bist du haftbar! Lasse ihn also garnicht mehr an das Internet und setze ihn nach folgender Anleitung neu auf. Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________ |
28.02.2009, 11:12 | #3 |
| Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
__________________device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Das ist der Log vom Mbr, es scheint dass hier noch alles in Ordnung ist. Ich mache mich dann mal an die erneute Neuinstallation, ohne abspeichern von Daten. Vielen vielen Dank für die schnelle und gute Antwort |
28.02.2009, 11:28 | #4 | ||
/// AVZ-Toolkit Guru | Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus!Zitat:
Zitat:
Kannst weitermachen..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
28.02.2009, 12:25 | #5 |
| Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! Was mich allerdings stutzig macht ist, dass ich ja bereits den Rechner formatiert hatte und bereits nach 2 Stunden einen erneuten Angriff hatte. Der MBR war ja sauber. Dass es irgendwas mit dem Maustreiber und der Maus zu tun hat ist ausgeschlossen?! Ich muss halt nun wahrscheinlich wenn ich das richtig machen will alle 3 Rechner am Netz neu formatieren oder seh ich das falsch. Die andern 3 Leute im Netz haben nämlich nichts bemerkt, bei denen 3 handelt es sich ausschließlich um Familienmitglieder! Also keine bösen Buben^^ |
28.02.2009, 12:39 | #6 | ||
/// AVZ-Toolkit Guru | Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus!Zitat:
Zitat:
Denn der Angreifer scheint ja wirklich alles machen zu können was ihm so beliebt.
__________________ --> Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! |
04.03.2009, 23:51 | #7 |
| Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! Hi, also ich habe die Tage nun alles haar genau wie in der Anleitung beschrieben formatiert und gesichert. Außerdem habe ich die beiden anderen Rechner im Netzwerk formatiert , jedoch vorerst nicht Neu Installiert. Bei meinem Rechner erst mal nur Internet , Nort360 , Spybot und mein Game installiert. Gerade eben ging es wieder los, mitten im Spiel macht die Mause sich wieder selbstständig ...öffnet die selben Ordner wie sonst auch. Nur war der Spuk immer nur kurz, dafür 3 mal kurz hinter einander...dann auch wieder verschiedene Ordner... Kann es sein, dass es evtl. mit dem Port den Wow benutzt zu tun hat, dass hier ständig jemand unbemerkt auf meinen Rechner zugreift. Es kann doch einfach nicht sein, dass ein Profihacke/Cracker an meinem Pc so interessiert ist, dass er sich laufend die Mühe macht sich hier rein zu schleichen und dann auch noch so dass ich das jedes mal durch die sich selbstständig machende Maus bemerke. Ich bin kurz vorm Ausflippen. Ist Norton 360 vllt einfach nur Müll?! |
05.03.2009, 00:28 | #8 |
| Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! hallo nagar. teil doch mal bitte mit, wie du ins Net 'gehst' per LAN, WLAN - Modem, Router?? hast du schon mal versucht deinen Account, dein Passwort für WoW zu ändern ? der könnte evtl. auch kompromitiert sein. cu |
05.03.2009, 08:18 | #9 |
/// AVZ-Toolkit Guru | Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! Also: Wenn du definitiv nach Analeitung neuaufgestzt hast und vorallem danach vernünftig abgesichert hast dann ist dein Rechner sauber! Norton360 und Spybot sind beide Müll. Deinstalliere die wieder. Hast du den Rechner wirklich so wie beschrieben abgesichert?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
05.03.2009, 11:27 | #10 |
| Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! Also ich gehe per Lan und via Router in s Inet. Ich habe alle Daten komplett gelöscht, also rein gar nichts übernommen. Mich wirklich genau an die Anleitungen gehalten. ALs erstes formatiert und gleich 2 getrennte Benutzerkonten erstellt. Firewall aktiviert und dann erst mal Windows updates gezogen. Norton installiert. VOrerst mal keine Programme zum Daten versenden eingerichtet. Alle Accounts und Pw geändert( unter anderem den WoW Acc). Was für Security Tools empfiehlst du mir denn?! Wenn ich Norton und Spybot wieder kicken soll? Soll ich evtl.mal nach ner Attacke Screens von den geöffneten Ordnern machen , damit ihr sehen koennt was genau passiert? |
05.03.2009, 12:34 | #11 |
| Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! Ich habe mein System jetzt mal durch www.security-check.ch kontrollieren lassen und dabei festgestellt, dass anscheinend "Keine Firewall" entdeckt wurde. Bei mir sind jedeoch die Norton 360 als auch die Wind.Xp Firewall aktiv. Ich habe außerdem noch festgestellt, dass jedes mal kurz bevor der Rechner wieder rummspinnt. die Maus total langsam wir, also die Geschwindigkeit verändert ist. Kann diese dann auch nicht mehr manuell verändern, meißt hilft nur ein Neu Start. |
06.03.2009, 10:26 | #12 |
| Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! hört sich ja echt krass an oO |
06.03.2009, 12:54 | #13 | |
/// AVZ-Toolkit Guru | Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus!Zitat:
Hat sonst noch jemand Zugriff auf den Rechner? Ich meine manuell bei dir zu Hause? Denn wenn du nach Anleitung neuaufgestzt hast ist dein Rechner sauber. Und von alleine fliegt kein Schädling auf das System.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
Themen zu Maus kopiert Ordner und versucht diese zu versenden! Keine Kontrolle über Maus! |
alle programme, bho, browser, defender.exe, dll, email, erste mal, explorer, firefox, gesperrt, handel, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, intrusion prevention, logfile, maus, mozilla, nvidia, problem, prüfen, rundll, spielen, symantec, teamspeak, updates, viren, windows, windows updates, windows xp, worldofwarcraft |