Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Festplatte arbeitet von alleine + 30-Opera Fenster öffnen sich (https://www.trojaner-board.de/48494-festplatte-arbeitet-alleine-30-opera-fenster-oeffnen.html)

Margharitis 21.01.2008 02:18
Festplatte arbeitet von alleine + 30-Opera Fenster öffnen sich
 
Hi,

ich hoffe mir kann jemand helfen.
Den Boardregeln zufolge sollte man lieber ausführlich beschreiben, sry wenns ZU ausführlich sein sollte.

Problem Nr. 1: Auf meine Festplatte wird ohne mein Zutun zugegriffen, zu erkennen am "typischen" Festplattengeräusch, zwar nicht so "intensiv" wie beim Kopieren großer Mengen, eher...im Sekundentakt.
Probleme daraus resultieren nicht direkt, aber ich bin SICHER, dass da irgendetwas passiert, das ich nicht will.
Ausserdem kommt es häufiger zu einem eingefrorenem windows.
Das Geräusch was GARANTIERT früher nicht da, großartige Veränderungen habe ich auch nicht durchgeführt, nur normal gesurft und normale Tools runtergeladen von bekannten PC-Magazin Seiten...diese sogar auf Viren überprüft.

Als Gegenmaßnahme habe ich Virenscan durchgeführt (AVIRA+ewido online), Spybot durchlaufen lassen, Ad-Aware + Blacklight. (auch dank den Infos aus diesem Forum)
--->keine Ergebnisse. Vor allem nichts, was das Problem gelöst hätte.

Im HJT Log hab ich ein paar leinere Sachen fixen lassen, waren aber eher so miniprobleme, folglich keine Besserung.

Dann dachte ich mir einfach, es läge einfach an der Hardware....bis:

Problem Nr. 2:
Opera hat sich nach untypischem Aufhängen+ NORMALEM Doppelklick auf die Verknüpfung 30mal und mehr geöffnet=30 opera Fenster.
Dass dadurch ein Benutzerfehler Auftrat und u.a. mein ganzer Verlauf WEG ist...
(Lesezeichen noch irgendwo gefunden).

Das Grundproblem scheint also noch dazusein, insbesondere weil auch hier viele ermahnen trotz Symptomnachlass weiter nach der Ursache zu suchen.

Die Opera-Geschichte KÖNNTE auch nur ein opera-bug sein, hab das mal an anderer Stelle nachgefragt..noch keine Antwort.

Allerdings hörte das Festplattengeräusch komischerweise danach auf?!???
(vielleicht war was im ebenfalls dadurch geleerten cache?)
Kann ich aber nicht mit Sicherheit sagen, ist mir vielleicht auch nur nicht aufgefallen...jetzt gerade ist das Geräusch jedenfalls nicht da.

Vor dem Opera Vorfall, nicht unmittelbar, ca. 1 Tag, habe ich noch ein Spiel installiert, wofür ich aufgrund eines InstallShiel Fehlers den gemeinsame dateien\InstallShield ordner ausschneiden und nach der installation wieder einfügen musste...vielleicht eine erwähnenswerte information.

So das wars erstmal, vielen dank für eure geduld

- 1. Das Geräusch ist wieder da, weniger lange-anhalltend, aber vorhanden (vgl. mit dem Geräusch wenn man kleine .doc´s speichert.)

KarlKarl 21.01.2008 02:23
Hi,

Fertige ein Hijackthis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Jetzt benenne die Datei Hijackthis.exe um in HJT.exe. Dieser Schritt ist erforderlich geworden, da es Malware gibt, die das Programm ansonsten erkennt und sich vor ihm versteckt. Alle anderen Programme schließen, nun HJT.exe starten, auf "Scan" klicken und das Log hier posten. Füge vor dem Log diese Zeile ein
Zitat:
[CODE]
und dahinter diese
Zitat:
[/CODE]
Gruß, Karl

Margharitis 21.01.2008 02:56
Danke für die schnelle Antwort

Hier das LogFile:

Code:


Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Java\jre1.5.0_03\bin\jusched.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme2\Logitech\SetPoint\SetPoint.exe
D:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Sicherheitssoftware\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\Sicherheitssoftware\Norton Internet Security\Norton AntiVirus\SAVScan.exe
D:\hjt\HJT.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme2\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme2\abcdphoto\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Sicherheitssoftware\Spybot\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\print\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Sicherheitssoftware\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Sicherheitssoftware\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme2\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\print\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Sicherheitssoftware\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] D:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] D:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme2\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme2\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - D:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\print\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\print\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\print\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\print\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme2\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme2\ICQLite\ICQLite.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Macromedia - D:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Sicherheitssoftware\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - D:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Sicherheitssoftware\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
HJT genauso benutzt wie beschrieben.

- Mir ist ein weiteres Symptom aufgefallen, falls diese Info was bringt: Sehr langsames Internet..wenns nutzlos ist, sry.

KarlKarl 21.01.2008 17:42
Ich steh mehr auf vollständige Logs.

Margharitis 23.01.2008 10:57
aus versehen...

Logfile of HijackThis v1.99.1
Scan saved at 10:54:44, on 23.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

und ohne diese info bringt der log nichts?

und SP2..das kommt auch gleich drauf...aber ich warte ersteinmal noch anweisungen ab..

KarlKarl 23.01.2008 19:43
Ehrlich gesagt: Servicepack 2 ist seit Jahren Standard. Wer es erst jetzt installiert, nachdem das System kaputt ist (und weil sonst im Forum gemeckert wird) und vorher noch versucht hat, das Fehlen zu verheimlichen, sollte es besser nach der Neuinstallation von Windows installieren.

Margharitis 24.01.2008 05:08
Das mit dem Header war keine Absicht, das einfache austauschen von 1 zu 2 wäre bei verheimlichungswunsch auch kein problem gewesen...

Nur erkenne ich im Log NICHTS schädliches. Wenn es voll mit irgendwelchem Zeug wäre, würde die Neuinstallation des Systems mit sp2 wohl genau richtig sein.

aber da ist doch echt nichts, oder stimmt das etwa nicht?


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19