Hallo erst einmal zusammen,

neu und schon ein dummes Provb
em.

Vor wenigen Wochen wurde mein System von einem Hijacker befallen, den ich auch gefixed - und mit allen möglichen Virenprogrammen bekämpft habe.

Seit etwa drei Tagen aber verhält sich mein PC etwas komisch.

Unabhängig davon, ob ich jetzt im Internet bin, ein Spiel spiele oder nur auf der Benutzeroberfläche arbeite, hat sich der PC etwas selbstständig gemacht.

Wenn ich eine Anwendung z.B. Systemsteuerung öffne, deaktiviert und aktiviert der Rechner in einem Intervall die Anwendungen.

Im Internet deaktiviert irgendwas meine Seite (welche aber im Vordergrund bleibt). Wenige Sekunden später wird die Seite wieder aktiv, aber meine geschrieben Wörter landen quasi im Nichts. Er aktiviert und deaktiviert also in kurzen Abständen diese Anwendung. Der Mauszeiger verwandelt sich für einen kurzen Moment in eine Sanduhr (extrem kurz). Der Rechner arbeitet also. Aber an was ?

Ein Spiel zu spielen z.B. ist momentan schier unmöglich da dieser Vorgang mich immer wieder zurück zum Desktop wirft und das Programm minimiert. Ich muss es also wieder anklicken um zurück zu kommen um dann nach 10 oder 2 Sekunden wieder auf dem Desktop zu landen.

Ich poste anbei nochmal eine kurze Hijck Loc:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\RECYCLED\WINLOGON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\torsten\Eigene Dateien\HijackThis.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)


Woran kann es liegen ? Habe ich eventuell in meinem Wahn irgendwas gelöscht oder verschoben?

Ich bitte dringend um Hilfe, da ich mit dem Rechner als Liveticker arbeiten muss, aber dieses Unterfangen so quasi nicht möglich ist.


Nette Grüße

OK

Hallo,
dein Log-File ist nicht vollständig!

Poste ein neues und überprüfe diese Datei C:\RECYCLED\WINLOGON.EXE bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.

Zitat:

Zitat von Cidre

Hallo,
dein Log-File ist nicht vollständig!

Poste ein neues und überprüfe diese Datei C:\RECYCLED\WINLOGON.EXE bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.

Na super:

Ergebnis:

WINLOGON.EXE Infiziert: Trojan.PSW.Delf.eb


Hier die File- mehr ist da wirklich nicht drin

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\RECYCLED\WINLOGON.EXE
C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\torsten\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe




Danke vorab für den schnellen Rat. Was ist als nächstes zu tun ?

Nette Grüße

OK

Welche Hijackversion hast du da, ist das aus dem abgesicherten Modus? Poste auf jeden Fall die Kopfzeilen mit, wir brauchen auch dein Betriebssystem und den Patchstand.
Der Trojaner, den du gefunden hast, ist ein Keylogger, das heisst, alle deine Passworte müssen als bekannt angesehen werden.

Besorge dir dieses Programm, update es wie beschrieben und lass es durchlaufen, poste dann die Namen der gefundenen Schädlinge:

http://www.trojaner-board.de/42731-escan-anleitung.html

ersrelle dann ein neues Logfile aus dem normalen Modus.

Zitat:

Zitat von MountainKing

Welche Hijackversion hast du da, ist das aus dem abgesicherten Modus? Poste auf jeden Fall die Kopfzeilen mit, wir brauchen auch dein Betriebssystem und den Patchstand.
Der Trojaner, den du gefunden hast, ist ein Keylogger, das heisst, alle deine Passworte müssen als bekannt angesehen werden.

Besorge dir dieses Programm, update es wie beschrieben und lass es durchlaufen, poste dann die Namen der gefundenen Schädlinge:

http://www.trojaner-board.de/42731-escan-anleitung.html

ersrelle dann ein neues Logfile aus dem normalen Modus.

Hallo...hier die Auswertung aus dem abges. Modus:

Logfile of HijackThis v1.98.2
Scan saved at 02:20:36, on 08.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\torsten\LOKALE~1\Temp\Rar$EX00.375\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll



Es wurde ein Virus entdeckt:

win32 txutmy.exe , entdeckt vom angebenen Programm in Deinem Link.


Hier noch die 3 Auffälligkeiten

Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry D:\AVGUARD.EXE in SYSTEM\CurrentControlSet\Services\AntiVirService...
Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry \??\D:\AVGNTDD.SYS in SYSTEM\CurrentControlSet\Services\avgntdd...
Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry D:\AVWUPSRV.EXE in SYSTEM\CurrentControlSet\Services\AVWUpSrv...


Mein beschriebenes Problem, ist nur dann akut, wenn der PC Online ist. Offline ist alles "normal".

Danke vorab...hoffe das kriegen wir irgendwie weg

Ich pushe den Beitrag mal hoch. Hat Jemand eine Idee ?