habe ein schwer zu erklärendes problem...

Cador · 02.08.2005, 20:28

hallo
seit neuestem habe ich folgendes problem:
wenn ich zum beispiel jetzt hier im explorer fenster was schreibe, dann wählt sich das fenster auf einmal von alleine ab. so als ob man nen ordner oder was anderen angeklickt hätte.

nur im explorer wäre es ja zu ertragen.
wenn ich jetzt aber eine anwending laufen habe dann springt diese ebenfalls zurück nach windows.

passieren tut aber nichts.... es wählt einfach nur das aktive programm/fenster ab.

was kann das sein?

fly007 · 03.08.2005, 07:07

Hallo,

lass mal HijackThis drüberlaufen und poste die LOG!

Cador · 03.08.2005, 15:38

hi
also ich weiss das ich eigentlich formatieren müsste wegen scvhost.
aber der fehler hier ist erst später aufgeterten.

Logfile of HijackThis v1.99.1
Scan saved at 16:36:37, on 03.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\Antivir\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
D:\Programme\Antivir\AVGUARD.EXE
D:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
d:\Programme\WinRAR\WinRAR.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Nowak\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WinStat - {0BAE99AF-A9F7-4f7e-9C72-2C1CC81BE0FF} - C:\WINDOWS\System32\WinStat13.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] REM D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nxbzt] C:\WINDOWS\System32\nxbzt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] REM "d:\spiele\steam\steam.exe" -silent
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.neededware.com
O16 - DPF: NDWCab - http://www.neededware.com/ndw4.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/...4/mcinsctl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/...21/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F11AE71-FCDC-40D7-BE53-735BB95E382A}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F11AE71-FCDC-40D7-BE53-735BB95E382A}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Antivir\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

fly007 · 03.08.2005, 15:45

Überprüf mal die Datei ctfmon.exe unter http://virusscan.jotti.org/de/

Folgendes wäre mal zu fixen, aber ich glaube nicht, dass das alles ist...

Code:

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F11AE71-FCDC-40D7-BE53-735BB95E382A}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F11AE71-FCDC-40D7-BE53-735BB95E382A}: NameServer = 217.237.151.225 217.237.150.225

Gigamail · 03.08.2005, 16:05

@ fly007

die Datei ist ok siehe http://frankn.com/html/ctfmon_exe.html
und wieso willst du die O17 fixen die sind auch ok

@ Cador

Beende den Dienst
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
Systemsteuerung --> Verwaltung --> dienste --> doppelklick
navigiere zu dem Dienst wenn er vohanden ist, doppelklick darauf und deaktivieren einstellen

C:\WINDOWS\svchost.exe -->wenn sie noch vorhanden ist
lasse mal die Datei hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren

vielleicht musst du das einstellen um sie zu finden

Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"

fly007 · 03.08.2005, 16:32

Zitat:

Zitat von Gigamail

@ fly007

die Datei ist ok siehe http://frankn.com/html/ctfmon_exe.html
und wieso willst du die O17 fixen die sind auch ok

Ich musste auch die O17 fixen:

Code:

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{013734A5-FB66-40A4-B3A2-1EC12970ECFE}: NameServer = 10.45.94.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{013734A5-FB66-40A4-B3A2-1EC12970ECFE}: NameServer = 10.45.94.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{013734A5-FB66-40A4-B3A2-1EC12970ECFE}: NameServer = 10.45.94.11

Kannst du mir bitte erklären warum?

wegen der Datei habe ich hier nachgesehen: http://www.sysinfo.org/startuplist.p...ter=ctfmon.exe

Rene-gad · 03.08.2005, 20:45

@Cador

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Nicht-Uptodate-Windows verursacht 80% aller Malware-Probleme.Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\DOKUME~1\Nowak\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe

--HIJACKTHIS SOLL AUS EINEM NICHT-TEMPORÄREN ORDNER AUSGEFÜHRT WERDEN.
--BENUTZERNAME MUSS KEINER SEHEN
--ALLE LINKS MÜSSEN INAKTIV SEIN.
Wozu steht an der Startpage von TB der Link zur Anleitung HJT???

Zitat:

O2 - BHO: WinStat - {0BAE99AF-A9F7-4f7e-9C72-2C1CC81BE0FF} - C:\WINDOWS\System32\WinStat13.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nxbzt] C:\WINDOWS\System32\nxbzt.exe
O15 - Trusted Zone: h**p://www.neededware.com
O16 - DPF: NDWCab - h**p://www.neededware.com/ndw4.cab

Das fixen, Dateien

Zitat:

C:\WINDOWS\System32\nxbzt.exe
C:\WINDOWS\System32\WinStat13.dll

im abgesicherten Modus löschen

Zitat:

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

Das macht mir aber Sorgen, denn ich halte für wahrscheinlich, dass du eine Bot-Sorte hast: Info und in dem Fall ist Tabula Rasa angesagt.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

@cronos
Wahrscheinlich hast du ja recht

.

cronos · 03.08.2005, 20:49

@ Rene-gad

Wie ich oben schon erwähnte, daß ist nicht wahrscheinlich dieser, das ist der HWBOT.

Zitat:

W32/Hwbot-A kopiert sich mit dem Dateinamen HWCLOCK.EXE in den Windows-Systemordner und erstellt einen Dienst mit folgenden Merkmalen, damit er beim Systemstart aktiviert wird:

Dienstname: hwclock
Anzeigename: Hardware Clock Driver