Hallo zusammen,
ich bin neu hier und habe folgendes Problem.
Ich vermute, dass „Irgendetwas“ auf dem PC ist, das dort nicht hingehört.
Leider kann ich es nicht lokalisieren und nicht entfernen.
Das Problem stellt sich wie folgt dar:
§ wenn der Willkommensbildschirm von WindowsXP erscheint, ertönen schnelle Signaltö-ne,
§ der Explorer lässt sich zwar öffnen, aber der Strukturbaum ist bereits geöffnet, zittert und ich kann keinen Ordner öffnen,
§ in jedem Eingabefeld (z. B. Browser, „Ausführen“, überall, wo etwas eingegeben werden kann) werden automatisch Sternchen (*) geschrieben.
Diese Sternchen kann man löschen und hat einige Zeit Ruhe, aber sie kommen immer wieder, spätestens mit dem neuen Hochfahren des PC’s.
Norton Antivirus 2004, Spybot, Adaware, cws-shredder, hijackthis (mit Onlineüberprüfung) bescheinigen immer einen sauberen Rechner.
Meine Fragen sind:
Was ist das?
Wie kann ich es lokalisieren?
Was kann ich dagegen tun?

Vielleicht kann mir jemand helfen.
Vielen Dank

Hallo Wassermann,

lade den eScan - gemäß der Anweisung runter und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde oder länger dauert und ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hallo Shadowdance,
zunächst danke für die schnelle Antwort.

Hier zunächst die von escan gefundenen Viren:

Wed Nov 17 19:06:55 2004 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.*
Wed Nov 17 19:03:43 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Daneben wurden 4 not-a-virus Dateien gefunden, die sich auf Bearshare bzw. auf Save now bezogen.

Jetzt das LOGFILE von Hijack This:

Logfile of HijackThis v1.98.2
Scan saved at 19:50:31, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ALUAlert] C:\Programme\Symantec\LiveUpdate\ALUNotify.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093095381202
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A320653-C0AB-4DB7-9B6E-8A00109ADFA7}: NameServer = 217.237.150.97,217.237.149.161

Ich hoffe, ich habe es richtig gemacht.

Heute habe ich den Störenfried mal wieder nicht bemerkt. Na ja.

Bis dann
Wassermann

Fixe dies:

R3 - Default URLSearchHook is missing
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1093095381202
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab


SP2 installieren!

Hallo Christian,
vielen Dank für die Unterstützung.
Ich habe die angegebenen Dateien gefixt.
Leider ohne Erfolg.

Wassermann

Hallo Wassermann,

update den eScan (Anleitung) online, lass ihn nochmal im abgesicherten Modus auf Deinem Rechner laufen. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Teile uns bitte das gesamte Ergebnis des eScan mit: welche Malware wurde auf Deinem Rechner gefunden.

SD