hi!

ich habe neuerdings ein sehr komisches problem und weiss nicht, wie ich es beseitigen kann.

und zwar hört man ab und zu ein "bellen", das man keine direkten aktion zu ordenen kann. manchmal kommt es schon nach dem hochfahren von windows, machmal nach dem leeren des papierkorbs und manchmal nach z.b. starten des winamp players. man könnte also vermuten, dass es immer kommt, wenn man was öffnet aber ich kann manchmal 20 mal was machen und nichts passiert und machmal mach ich 2 mal was und höre 3 mal diesen sound: http://mitglied.lycos.de/flipmode69/wau.mp3

jetzt könnt ihr euch sicher denken, dass mich das jedes mal vom hocker fallen lässt, wenn man nichts ahnend vorm pc sitzt und auf einmal kommt aus dem nichts dieses laute *wau*

ich habe schon alles mögliche versucht. noton anti virus hat nicht angeschlagen. nod32 antivirus hat was gefunden, was gelöscht aber das geräusch ist noch da, das selbe mit escan antivirus. firewall habe ich zone alarm aber da pasiert auch nichts. trojan remover hat nichts gefunden.

ich habe jetzt alle wav und wma dateien durchgehört um zu sehen ob dieser sound da dabei ist und ich wenigstens den löschen kann aber auch das war ohne erfolg. auch habe ich das soundschema ausgeschaltet, um auszuschliessen, dass es eine normal fehlermeldung oder sowas ist.



mein system:

amd athlon 2400+ xp
win xp professional
board msi k7n2 delta
soundblaster live
ati radeon 9800 pro

evtl kann mir ja einer helfen..ansonsten steht wohl format c: an

thx im voraus

mfg
flip

Also das ist zumindest mal ein ungewöhnlicher Virus.

Was haben NOD und E-Scan denn gefunden?

und poste dann ein Log von hjt:

http://www.trojaner-board.de/51130-a...ijackthis.html

das ist der log:

Logfile of HijackThis v1.98.2
Scan saved at 21:23:06, on 31.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\flip\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pgde.mog-server.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.zonelabs.com/zapoffer/1026lkbfz.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programme\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [DirectX 32] directx32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD360855-2FD1-4CA1-A135-EE84A97A56B1}: NameServer = 217.237.151.161 194.25.2.129



hmmm...was die gefunden haben...eigenltich war ich nur froh, dass was gefunden wurde, weil ich dachte das problem wäre gelöst. ausserdem wurden die dateien gleich gelöscht.

es war aber irgendwas mit win 32 trojaner dial und noch was... weiss leider nichts genaueres.

hmmm..sehe gerade... das wurde mir schon als trojaner und als gelöscht angezeigt. ist aber wohl noch oder wieder da:

O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

hab das jetzt mal mit HijackThis gelöscht

mal eine frage: du schreibst, du findest die entsprechende sound-datei nicht, konntest sie aber andererseits ins internet stellen?

ok, du könntest auch ewig vor'm rechner gesessen und genau auf den moment gewartet haben, in dem das bellen losgeht, schnell noch den record-knopf gedrückt, das ganze zurechtgeschnitten, in mp3 umgewandelt und ab damit ins internet...aber irgendwie...na, ich weiß nicht .

wie bereits erwähnt, kommt der ton nur sehr unregelmässig. warten und aufnehmen hätte daher auch bedeuten können, dass ich 2 stunden aufnehme und nichts passiert. ich hab ja auch schon probiert, den sound heraufzuprovozieren, indem ich die unten genannten sachen, wie z.b. papierkorb leeren sehr oft hintereinander gemacht habe aber das brauchte auch ichts. deshalb hab ich mich dann vors mikro gehockt und solange in das selbige gebellt, bis ich nen sound hatte, der dem *richtigen* bellen schon sehr nahe kommt und diesen hier verlinkt, damit ihr ne ahnung habt, wie das in etwa klingt.



das löschen von dem hier:

O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

hat übrigens nichts gebracht. der sound kommt immer noch.

*schubs*


weiss denn keiner einen rat?

Die Namen der gefunden Schädlinge würde da wirklich weiterhelfen, die sind in den Logfiles herauszulesen. Aber du hast auch nach wie vor Backdoorprogramme auf deinem Rechner, dein System ist kompromittiert und es ist durchaus möglich, dass das Abspielen dieses Sounds dadurch ausgelöst wird. Da schon Trojaner (auch wenn wir nicht wissen welche) gefunden wurden und immer noch andere aktiv sind, kann es nur einen wirlklich sicheren Weg geben:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware (http://virgolamobile.50megs.com/spyware/spyware.htm
http://www.spywareguide.com/spywarelist.html) enthalten


Dies hier sind Trojaner:

O4 - HKLM\..\Run: [DirectX 32] directx32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe

Du müsstest die entsprechenden Programme im Taskmanager beenden, die Systemwiederherstellung deaktivieren und dies fixen.

Auch noch:

O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstalle

Das Abarbeiten der obigen Punkte ist aber die wesentlich bessere Lösung, kein Scanner kann dir ein sauberes System nach einer Kompromittierung garantieren.

Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

ok thx...