Logfile of HijackThis v1.98.2
Scan saved at 23:09:46, on 09.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\ben\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: MedionShop - {36669D80-D50C-45FA-9675-2A46C5698A6E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094674518984

also ich hatte/habe sygate persoanl firewall pro oben, netgear rooter, trojancheck, antivir, spybot, adaware (wobei ich die letzen 2 atm nicht drauf hab wegen format c) etc.

ich hab halt den pc angelassen aber war nicht im inet. ich komm heim, zig progs am laufen und die maus fährt übern bildschirm. ok erschtmal schock. hab telekom angerufen aber kein traffic über die leitung gegangen. ich hab so nen medion aldi pc. der hat wlan integriert. das hab ich aber auf RADIO OFF gemacht und im netzwerk auch deaktiviert. naja der scheiss trojaner (der dumme kerl hinter dem trojaner) is immernoch da. auch nachdem format c. sygate zeigt 0 in und 0 out aber die maus bewegt sich trotzdem durch die gegend. ich weiss echt nimmer was ich tun soll. das einzige was eben sein kann is das der über wlan rein geht. nun gut ich wohn in nem kl. dorf. btw fällt mir grad auf das der cursor so komisch blinkt. der hat wahrscheinlich nen keylogger laufen. naja zurück zum thema. also soviele die sich auskennen mit wlan dürfte es in meiner umgebung nicht geben. bitte helft mir ich bin echt verzweifelt.


//edit spybot hat auch DSO EXPLOIT gefunden aber ich hab eigentlich nur mit opera gesurft nur ab und zu mit IE und dann nur auf "VERTRAUENWÜRDIGEN SITES"

*push* bitte um hilfe!!! ich weiss nimmer weiter! soviel wie ich an hab und trotzdem nen trojaner der net runter will!!!

nochmal ne neue jh log:

Logfile of HijackThis v1.98.2
Scan saved at 00:44:59, on 10.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
D:\Benni\mIRC\mirc.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\ben\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094674518984

Hallo Bensen,

wie kommst Du auf die Idee, dass Du einen Trojaner auf dem System hast?

Lade Dir bitte den eScan - entsprechend der Anleitung in diesem Thread runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung im Thread: Thread-6083

Teile uns dann bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:

Ich schau mir derweil Dein Logfile an.

[edit] Poste nach dem eScan bitte ein neues Hijack This-Logfile.

SD

weil zig programme gestartet wurden als ich net da war und die maus sich ziemlich extrem bewegt hat. also net nurn bisschen sondern richtige kreise etc etc.


//edit ok werd das mal mit escan machen

@ bensen

also, ich sehe nichts Auffälliges in Deinem Logfile.

Aber Dein System ist nicht auf dem aktuellen Stand. Lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

und teile uns dann bitte das Ergebnis des eScan mit.

SD

@bensen :

Auch ich sehe mit meinen Augen nix verdächtiges oder schlimmes. Dem Zufolge, kann das als folgen mehreres haben :

• Deine Festplatte ist nich defragmentiert
• Du hast zu viele Programme im Auto-Start
• Du hast zu viele Prozesse am laufen (und zu wenig RAM)
• Du hat einen Prozess am laufen der sehr viel Ram benötigt

Im großen und ganzen kann es auch sein dass Dein System schlecht eingestellt ist, aber um SD zu zitieren, bitte gib uns dein eScan log, dann sehen wir weiter, achja, bitte Scanne im ABGESICHERTEN Modus - Danke Dir .

Gruß
Andy

also eScan hat nix gefunden! ich kann die log hier net posten irgend nen mysql fehler

//edit log

Fri Sep 10 17:01:35 2004 => **********************************************************
Fri Sep 10 17:01:35 2004 => eScan AntiVirus Toolkit Utility.
Fri Sep 10 17:01:35 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Sep 10 17:01:35 2004 => **********************************************************
Fri Sep 10 17:01:35 2004 => Version 4.4.7
Fri Sep 10 17:01:35 2004 => Log File: C:\DOKUME~1\ben\LOKALE~1\Temp\mwav.log
Fri Sep 10 17:01:35 2004 => Latest Date of files inside MWAV: 08 Sep 2004 12:01:44.
Fri Sep 10 17:01:36 2004 => AV Library Loaded...
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavss.exe
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\Getvlist.exe
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavss.dll
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavssdi.dll
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavssi.dll
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavvlg.dll
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\msvlclnt.dll
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\ipc.dll
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\main.avi
Fri Sep 10 17:01:36 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\virus.avi
Fri Sep 10 17:01:36 2004 => Virus Database Date: 2004/09/08
Fri Sep 10 17:01:36 2004 => Virus Database Count: 103467
Fri Sep 10 17:01:43 2004 => AV Library Unloaded (3)...
Fri Sep 10 17:04:18 2004 => **********************************************************
Fri Sep 10 17:04:18 2004 => eScan AntiVirus Toolkit Utility.
Fri Sep 10 17:04:18 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Sep 10 17:04:18 2004 => **********************************************************
Fri Sep 10 17:04:18 2004 => Version 4.4.7
Fri Sep 10 17:04:18 2004 => Log File: C:\DOKUME~1\ben\LOKALE~1\Temp\mwav.log
Fri Sep 10 17:04:18 2004 => Latest Date of files inside MWAV: 08 Sep 2004 12:01:44.
Fri Sep 10 17:04:19 2004 => AV Library Loaded...
Fri Sep 10 17:04:19 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavss.exe
Fri Sep 10 17:04:19 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\Getvlist.exe
Fri Sep 10 17:04:19 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavss.dll
Fri Sep 10 17:04:19 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavssdi.dll
Fri Sep 10 17:04:20 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavssi.dll
Fri Sep 10 17:04:20 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\kavvlg.dll
Fri Sep 10 17:04:20 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\msvlclnt.dll
Fri Sep 10 17:04:20 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\ipc.dll
Fri Sep 10 17:04:20 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\main.avi
Fri Sep 10 17:04:20 2004 => Scanning File C:\DOKUME~1\ben\LOKALE~1\Temp\virus.avi
Fri Sep 10 17:04:20 2004 => Virus Database Date: 2004/09/08
Fri Sep 10 17:04:20 2004 => Virus Database Count: 103467