Hallo!
Seit einigen Tagen machen sich bei meinem System Scrollleisten und Fenster selbständig.
Durch Internetrecherche bin ich auf diese Seite aufmerksam geworden.
Ich habe mit HijackThis ein Logfile erstellt. Nur werde ich als, zumindest partieller, DAU daraus nicht schlau. Ich würde mich freuen, wenn sich jemand mal den Inhalt ansieht und dazu Stellung nimmt.
Wenn genauere Infos über das System notwendig sein sollten, werde ich versuchen so schnell wie möglich zu antworten.

Vorab schon mal meinen Dank für die hoffentlich kommende Unterstützung.

Hier nun der Inhalt des Logfile (ich hoffe, ich hab alle notwendigen Editierungen vorgenommen!!)

Logfile of HijackThis v1.99.1
Scan saved at 19:33:22, on 07.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Service\Sicherheit\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=090605 serial=DR12WGJ-1050151-ELW lang=DE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124482738906
O17 - HKLM\System\CCS\Services\Tcpip\..\{94331615-0D09-4EF7-8249-28BBA26E758F}: NameServer = 192.168.1.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe

Hm, dein log sieht sauber aus.

Mache mal bitte einen scan mit:

1.Lavasoft
2.Spybot
3.SSW

alle Programme müssen vor dem scan geupdatet werden !
Wenn was gefunden wird ALLES löschen.
Danach würde ich die zwei, die dir am wenigsten zusagen wieder deinstallieren.

Dann arbeite bitte die Anleitung zu eScan/MWAVE aus meiner Signatur ab.

mfg

Undoreal

Das ging ja fix!! Herzlichen Dank!!

Zitat:

Zitat von undoreal

Hm, dein log sieht sauber aus.

Fein! Ich hoffe das bleibt bei den anderen Überprüfungen so!

Zitat:

Zitat von undoreal

Mache mal bitte einen scan mit:

1.Lavasoft
2.Spybot
3.SSW

alle Programme müssen vor dem scan geupdatet werden !
Wenn was gefunden wird ALLES löschen.
Danach würde ich die zwei, die dir am wenigsten zusagen wieder deinstallieren.

Dann arbeite bitte die Anleitung zu eScan/MWAVE aus meiner Signatur ab.

Werde ich machen und ggf. was posten, wenn ich nicht weiter weiß!!

Gruß aus Bochum!!
Bernd (Heinerich)

Hi,

die Scans mit Lavasoft, Spybot und SSW habe ich gestern gemacht. Wurde kein Alarm oder ähnliches ausgelöst.
Im Moment läuft escan im abgesicherten Modus. Da habe ich im Fenster "Virus Log Information" schon mal die folgenden Infos (die mich natürlich kribbelig machen) gefunden:

Zitat:

Object "mooler Worm" found in File System! Action Taken: No Action Taken.
Object "iwon Spyware/Adware" found in File System! Action Taken: No Action Taken.

Ich hoffe ich kriege alles so hin, wie es in der Anleitung zu escan steht und werde dann die komplette Auswertung hier veröffentlichen.

Hier nun der Inhalt nach dem Scan mit escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Mar 08 10:22:19 2007 => Version 9.1.7 (C:\DOKUME~1\Admin\LOKALE~1\Temp\mexe.com)
Thu Mar 08 00:44:48 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 00:45:32 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 09:17:47 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 09:18:10 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 10:15:56 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 10:18:25 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 10:21:57 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 11:12:30 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 11:14:01 2007 => Virus Database Date: 3/8/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 08 09:19:45 2007 => System found infected with iwon Spyware/Adware (files.ini)! Action taken: No Action Taken.
Thu Mar 08 10:23:41 2007 => System found infected with iwon Spyware/Adware (files.ini)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Thu Mar 08 10:09:48 2007 => *** File E:\Brennen\Musik_Hörspiel\U_Musik\Stereoplay Highlights\Still alive (25 Jahre Stereoplay) Rare Livetracks tagged V1.1_&_V2.3_224kbs_by_-=Goiko=-.rar having Size Restriction ***. Filesize 66350 kb > 3072 kb...
Thu Mar 08 10:09:48 2007 => Scanning File E:\Brennen\Musik_Hörspiel\U_Musik\Stereoplay Highlights\Still alive (25 Jahre Stereoplay) Rare Livetracks tagged V1.1_&_V2.3_224kbs_by_-=Goiko=-.rar [**]
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Mar 08 09:19:45 2007 => Offending file found: E:\eigene musik\playlisten\files.ini
Thu Mar 08 10:23:41 2007 => Offending file found: E:\eigene musik\playlisten\files.ini
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Mar 08 09:19:40 2007 => Offending Folder found: E:\eigene daten\mtb\bergarbeiter\home\graphiken\mitgliedsdaten\m
Thu Mar 08 10:23:40 2007 => Offending Folder found: E:\eigene daten\mtb\bergarbeiter\home\graphiken\mitgliedsdaten\m
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 08 10:10:09 2007 => Scanning Folder: E:\Eigene Bilder\Adobe\Gescannte Fotos\*.*

Wo ist denn hier der mooler worm gebleiben????? Während des scans wurde der doch angezeigt??? Ich bin ein wenig irritiert!

Nutzt du einen Peer to Peer Manager?

Der mooler Wurm oder auch Bagle Trojaner ist momentan im Umlauf..

Scanne mal bitte einfach alle Dateien die er dir hier so auflistet (offending wie auch tagged) auf Virustotal und texte das Ergebnis.

Gruss

Undoreal