Rechner macht sich selbstständig
 

Seit ein paar Tage verhält sich mein PC seltsam: Zuerst ertönten immer wieder Beeps (die, die immer bei einer Fehlermeldung kommen), ohne dass ich etwas getan hätte und auch ohne eine Meldung. Aber heute begann er dann, ohne mich vor- und zurückzunavigieren oder beim Tippen begann der Cursor, sich selbstständig zu machen und Buchstaben einzugeben, ohne dass ich tippte.
Hab den PC vorgestern mit AntiVir gescannt, zwei Viren gefunden und gelöscht. Heute erneuter Scan, kein Ergebnis. Kann sich das einer von euch bitte kurz anschauen, ob ihr aus meinem Logfile schlau werdet (den IE benutz ich übrigens fast nie):


Logfile of HijackThis v1.99.1
Scan saved at 21:26:54, on 13.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\sipgate X-Lite\sipgateXLite.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Miranda ME 2.0 RC2\miranda32.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programme\Cisco Systems VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\CTPdeSrv.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.asus.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = XXXPRIVATXXX
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = XXXPRIVATXXX
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\sipgate X-Lite\sipgateXLite.exe"
O4 - Startup: Miranda ME.lnk = C:\Programme\Miranda ME 2.0 RC2\miranda32.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.asus.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159357429570
O17 - HKLM\System\CCS\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: Domain = XXXXPRIVATXXXX
O17 - HKLM\System\CCS\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: NameServer = XXXXPRIVATXXXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: Domain = XXXXPRIVATXXXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: NameServer = XXXXPRIVATXXXX
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems VPN Client\cvpnd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

AntiVir bringt übrigens zwei Warnungen, es betrifft zum einen die C:\pagefile.sys und die C:\hiberfil.sys:


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\pagefile.sys'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Sind die harmlos oder steckt da was dahinter?

Also ich weiss dass es meist nicht sehr hilfreich ist wenn sich "Laien" wie ich es bin "erdreisten" hier zu antworten, aber ich bin mir ziemlich sicher dass es an den beiden Dateien nicht liegt. Hatte das Problem selber und hab hier im Forum und im Google einiges dazu gefunden, die Dateien betreffen die Auslagerungsdatei von Windows und den Ruhezustand (oder so ähnlich) und es kommt relativ häufig vor dass das Betriebssystem dem Virenscanner darauf den Zugriff verweigert.

Ich will den Thread doch nochmal vorholen, da ich mittlerweile sogar schon "Nachrichten" auf den Bildschirm gekriegt hab (beim Schreiben eines Word-Dokuments tippte es ohne mein Mitwirken los, à la: "Wir müssen nch wegen Smstag etwa s besprechen")...
Seht ihr noch ne Möglichkeit, die Sache zu retten, ohne alles plattzumachen (das hab ich zwar eh vor, aber erst in zwei Wochen, da ich bis dahin absolut keine Zeit dafür hab)? Brauche Hilfe, schonmal danke dafür!

Zu TomFlinz:
Ich bin auch nur Laie, wie viele andere auch hier. Du "erdreistest" Dir nichts, wenn Du gut recherchierst und Dein Wissen weitergibst. Davon lebt dieses Forum.

Zu UlfsHeizung (Wo hast Du eigentl. diesen Nick her?) :
Aus Deinem Log ist zunächst nichts gravierendes zu erkennen. Deshalb würde ich einen scan Deines Systems vorschlagen:
http://www.trojaner-board.de/38066-e...ightymarc.html
Das Ergebnis dieses scans postest du mit der sog. "find-bat", die ist in der Anleitung enthalten.
Desweiteren kannst Du mal folgende Datei bei Virustotal überprüfen lassen: http://www.virustotal.com/en/indexf.html
C:\Programme\PartyPoker\PartyPoker\RunApp.exe

Alternativ bei Jotti, sollte Virustotal nicht funktionieren:
Online malware scan

EDIT: Hi myrtille. Irgendwie heut Server-Probs. Aber liegen ja beide "fast" über ein!

Wenn jemand zu Zugang zu deinem Rechner hat, hilft nur noch neuaufsetzen. Ein hübsche Anleitung gibt es hier: Neuaufsetzen

Falls du dein System noch überprüfen willst, um zu sehen was dich da befallen hat kannst du mal eScan drüberlaufen lassen. (Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)
Außerdem noch ein Log von silentrunner-log und Blacklight erstellen.

Es führt am Neuaufsetzen allerdings kein Weg vorbei! Die sicherste Variante wäre bis zum Neuaufsetzen den Rechner vom Netz zu nehmen.

@TOM:
Du hast recht, die Dateien gehören zu Windows, sind mE Auslagerungsdateien (?), wobei die hyberfil.sys zb für die Speicherungen beim Ruhezustand zuständig ist.

lg myritlle

EDIT: und wie immer zu langsam. :balla: Hi Mobius! :)

Ich tat wie mir gehießen, aber erhielt nur die leere Formular-Datei von der bat-Datei erzeugt. Mag möglicherweise daran liegen, dass mein PC sich geweigert hat, im abgesichterten Modus zu booten (einige Male versucht und immer ist er normal gestartet). Immerhin fand der eScan 9 Viren/Spyware..

Die PartyPoker-Datei enthielt tatsächlich etwas: Trojan-Clicker.Win32.Agent.jm


Jetzt die Frage: Wäre es fatal, noch anderthalb Wochen mit dem PC zu arbeiten, bevor ich ihn neu aufsetze?
Und ganz allgemein: Reicht es, die C:-Partition zu formatieren? Denn auf der anderen liegen meine Daten und die würde ich gerne behalten (das letzte Backup liegt ein wenig zurück)... denn die auf einen anderen PC kopieren wäre nicht sonderlich klug, oder?

Kannst du mal bitte das mwav.log (sollte unter %temp%\mwav.log zu finden sein) bei file-upload.net hochladen und den link hier reinstellen? Wär nett. Danke

Funzt natürlich nur, wenn du die temporären Dateien nicht nach dem scan gelöscht hast. Alternativ suche mal nach c:\bases_x\mwav_clean.log. Grüße

cheers Mobius :party: *mich interessiert nur das log, nicht der thread... und weg....*

Jepp, ordell 1234 (Gruß) nun mal schneller *g*.
Wenn Du schon das mwav.log nachreichst, dann bitte auch das Ergebnis von Virustotal.....


Edit: Ich weiss auch warum ;-) . Prost ordell

Hier das MWAV.log:
Und das Ergebnis von Virustotal (ich hab die ganzen Scanner, die nichts gefunden haben, rausgelöscht): Danke für eure Mühen!:)

Hi :)
zweierlei:
1) Das Mwav_clean.log ist bereits ein Zwischenprodukt der find.bat und nicht ihr ursprünglicher Zustand. Solltest du das mwav.log nicht finden wäre es gut, wenn du uns noch das mwav_cut.log zur Verfügungstellen könntest. Das enthält in der Regel nämlich die interessanten Teile. ;)

2) Virustotal wertet deinen Datei mit über 20 Antivirenprogrammen aus. Mache den Scan bitte nochmal und warte, bis oben "current status:finished" steht und poste das Ergebnis dann erneut hier. :)

lg myrtille

Jetzt hoffentlich das richtige MWAV.log.

Zu Virustotal: Ich hab den Test schon komplett durchlaufen lassen, aber hab nur die relevante Zeile reinkopiert. Die anderen Scanner hatten alle nichts gefunden, nur Ikarus wurde fündig. Deswegen hab ich mir gedacht, dass der reicht ;)

Merci für die Dateien. Also bei mir funzt der Laden. :confused: Ich stell mal das eingedampfte log der find.bat für die fleißigen Helferlein hier rein. Gruß vom Faultier

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version:
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cws.loadbat Browser Hijacker (hp.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with clipgenie Spyware/Adware (player.html)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\Eigene Dateien\Downloads\mirc614.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.614. Keine Aktion vorgenommen.

~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: D:\Eigene Dateien\downloads\leecher\flp-l33cher\updater.exe
Offending file found: D:\Eigene Dateien\downloads\macromedia mx 2004\dreamweaver mx 2004\plugins\p7_carringtonpress\carrington_press\auth\hp.htm
Offending file found: D:\Eigene Dateien\musik\basshilfe\bass\faq\player.html

~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...

~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\ICQLite\ICQPhone.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\ICQLite\MIBFlashCtrl.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...

~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 112861
Gefundene Viren: 9
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 57
Dauer des Scans bisher: 01:55:16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:34:46,31
Batchende: 18:35:38,48

Danke ordell für den guten Service :D

Zu UlfsHeizung : Bitte lasse diese Datei unbedingt bei Virusttotal überprüfen und poste das gesamte Ergebnis des scans:
updater.exe
Ich kann mich auch irren, aber im Zusammenhang mit dem IRC-Clienten (Baut eine Verbindung zu einem IRC-Server auf) habe ich da einen bösen Verdacht.

Nach dem Ergebnis wird sich zeigen, ob sich eine Bereinigung überhaupt lohnt.

Die updater.exe bei Virustotal:
Tut mir leid, dass das so verrissen ist, aber als ich gerade versuchen wollte, die Spalten anzupassen, hat mir mein Plagegeist keine Ruhe gelassen und mich nicht arbeiten lassen. Interessant, dass ich nur abends was von ihm merk, tagsüber herrscht hier Ruhe und Ordnung ;)

EDIT: Jetzt hat's geklappt...

Das ist wirklich seltsam bei Dir. Ich grübel gerade darüber warum Dein HJT unauffälig geblieben ist, der e-scan Einträge aufweist, aber die dubiose updater.exe von den scannern so gänzlich unerkannt bleibt.
Normalerweise gehört diese EXE zu Kodak, aber da diese angemekkert wurde könnte diese rein theoretisch diesem Schädling zugeordnet werden : W32/Agobot-OT (Keine Panik, nur eine Vermutung, muss ja nicht sein).
Aber irgendetwas stimmt bei Dir nicht, das ist klar.

Poste bitte eine neues HJT, Wichtig:Benenne die Hijackthis.exe in z.B. HJT.2007.com oder exe um.

Bitteschön...


Logfile of HijackThis v1.99.1
Scan saved at 09:02:41, on 18.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\sipgate X-Lite\sipgateXLite.exe
C:\Programme\RealPlayer\RealPlay.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Miranda ME 2.0 RC2\miranda32.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programme\Cisco Systems VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Eigene Dateien\Downloads\hijackthis\HJT.2007.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://www.asus.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = XXXPRIVATXXX
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = XXXPRIVATXXX
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\sipgate X-Lite\sipgateXLite.exe"
O4 - Startup: Miranda ME.lnk = C:\Programme\Miranda ME 2.0 RC2\miranda32.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159357429570
O17 - HKLM\System\CCS\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: Domain = XXXPRIVATXXX
O17 - HKLM\System\CCS\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: NameServer = XXXPRIVATXXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: Domain = XXXPRIVATXXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{06DCB771-1786-4D78-9E63-B6B8A3540258}: NameServer = XXXPRIVATXXX
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems VPN Client\cvpnd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Moin

was hier eigentlich offen im Raum steht ist, was wurde den seinerzeit von AntiVir gefunden?
Was wurde wo gefunden (Pfad/Dateiname-Schädlingsbezeichnung)?

MFG

Folgendes kam bei raus:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 12. Juli 2007 00:22

Es wird nach 921159 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: René
Computername: L602

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 27.04.2007 08:59:20
AVSCAN.DLL : 7.0.4.0 41000 Bytes 19.04.2007 18:29:39
LUKE.DLL : 7.0.4.11 143400 Bytes 19.04.2007 18:29:42
LUKERES.DLL : 7.0.4.0 10792 Bytes 19.04.2007 18:29:42
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 12:14:26
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 14:29:20
ANTIVIR2.VDF : 6.39.0.130 2048 Bytes 10.07.2007 14:29:20
ANTIVIR3.VDF : 6.39.0.136 84992 Bytes 11.07.2007 14:29:20
AVEWIN32.DLL : 7.4.0.39 2482688 Bytes 05.07.2007 14:16:08
AVWINLL.DLL : 1.0.0.7 14376 Bytes 19.04.2007 18:29:39
AVPREF.DLL : 7.0.2.1 24616 Bytes 19.04.2007 18:29:39
AVREP.DLL : 7.0.0.1 155688 Bytes 11.07.2007 14:28:16
AVPACK32.DLL : 7.3.0.13 360488 Bytes 27.06.2007 12:29:12
AVREG.DLL : 7.0.1.2 31784 Bytes 19.04.2007 18:29:39
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 19.04.2007 18:29:37
AVARKT.DLL : 1.0.0.17 278568 Bytes 09.05.2007 14:19:02
NETNT.DLL : 7.0.0.0 7720 Bytes 19.04.2007 18:29:42
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 19.04.2007 18:29:23
RCTEXT.DLL : 7.0.45.0 86056 Bytes 19.04.2007 18:29:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 12. Juli 2007 00:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASUSDVD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCPlusPlus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTPdeSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LastFM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASWL2K.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASWLSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LastFMHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sipgateXLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '18' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7H0JK34W\MSG3156[1]
[0] Archivtyp: MIME
--> 0727938.zip
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Worm.Gen)
[1] Archivtyp: ZIP
--> Ebay.doc.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Nurech.BG
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FP8R12UM\MSG3346[1]
[0] Archivtyp: MIME
--> 69185.zip
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Worm.Gen)
[1] Archivtyp: ZIP
--> Aktenzeichen.doc.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46dc5a3b.qua' verschoben!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'F:\' <TREKSTOR>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Donnerstag, 12. Juli 2007 01:37
Benötigte Zeit: 1:15:44 min

Der Suchlauf wurde vollständig durchgeführt.

6895 Verzeichnisse wurden überprüft
373798 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
2 davon wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
373792 Dateien ohne Befall
8855 Archive wurden durchsucht
2 Warnungen
1 Hinweise
0 Versteckte Objekte wurden gefunden

Den Trojan-Downloader.Win32.Nurech.bg konnte Antivir anscheinend wirklich elemenieren, im e-scan ist nichts zu sehen. Aber die Probs hast Du ja immer noch. Und das ist merkwürdig bei Dir, aber gut, bereinigen wir erst mal, lamentieren bringt Dich nicht weiter. Dein Problem könnte im übrigen mit dem BitTorrent-Netzwerk zusammenhängen (Leecher, steht übrigens im englischen für Blutegel *g*). Die Einträge unter D: halte ich größtenteils für Riskware, sprich steht Dir frei, ob Du diese weiter verwenden oder entfernen möchtest.

Versteckte Dateien sichtbar machen:
Start > Arbeitsplatz > Extras > Ordneroptionen > Ansicht > Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen > Geschützte und Systemdateien ausblenden --> Haken entfernen >Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.
Lösche folgende Programme unter Systemsteuerung>Software komplett:
C:\Programme\PartyPoker\PartyPoker … und alle Dir unbekannten Programme.
Lade Dir anschl Downloads von shTools.de herunter, starten, Häckchen bei „clear all“

Danach downloaden, noch nicht starten:
Download RegSeeker - zum bereinigen der Registry
Vundofix - Errorsafe ist eine Vundo-Variante
Trend Microâ„¢ CWShredderâ„¢ - Trend Micro USA - CoolWebSearch
Die Seite von Spybot-S&D! - Spybot (bereinigen & zus. Schutz,entfernt weitere Reste)
Ad-aware - Download ad-aware (bereinigen & zus. Schutz)

Boote danach in den abges. Modus mit deakt. Systemherst. nach dieser Anleitung:
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP) , alle Progs durchlaufen lassen und scannen, löschen was diese finden (regseeker bitte mehrmals durchlaufen lassen). Lösche verbl. temp.Dateien manuell (Start > Ausführen > Cmd > del /F /S /Q %temp%\*.*).

Nach Bereinigung normal booten, Syst.herst. wieder aktivieren, lass vorsichtshalber nochmal mit den gleichen Tools bereinigen. Anschl. postest Du neuen e-scan-Bericht und berichte, ob Du immer noch was "von Deinem Plagegeist merkst".

So, ich hab die ganzen Programme mal durchlaufen lassen, wie du gemeint hast. Allerdings sind die Probleme immer noch da und auch eScan wird immer noch fündig: Hier das log (die find.bat funktioniert bei mir ja leider nicht).

Ich habe mir das ellenlange Log durchgelesen. Du meinst diese Einträge hier:

Fri Jul 20 11:25:29 2007 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Fri Jul 20 11:25:29 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Fri Jul 20 11:25:29 2007 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\René\LOKALE~1\Temp\spydb.avs, Size: 240670].
Fri Jul 20 11:25:32 2007 => Indexed Spyware Databases Successfully Created...
Fri Jul 20 11:25:37 2007 => Offending Key found: HKCU\\magnet !!!
Fri Jul 20 11:25:37 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Fri Jul 20 11:25:47 2007 => Offending file found: D:\Eigene Dateien\downloads\macromedia mx 2004\dreamweaver mx 2004\plugins\p7_carringtonpress\carrington_press\auth\hp.htm
Fri Jul 20 11:25:47 2007 => System found infected with cws.loadbat Browser Hijacker (hp.htm)! Action taken: Keine Aktion vorgenommen.

Fri Jul 20 11:25:56 2007 => Offending file found: D:\Eigene Dateien\musik\basshilfe\bass\faq\player.html
Fri Jul 20 11:25:56 2007 => System found infected with clipgenie Spyware/Adware (player.html)! Action taken: Keine Aktion vorgenommen.

Fri Jul 20 11:26:20 2007 => Offending file found: D:\Eigene Dateien\downloads\macromedia mx 2004\dreamweaver mx 2004\plugins\p7_carringtonpress\carrington_press\auth\hp.htm
Fri Jul 20 11:26:20 2007 => System found infected with cws.loadbat Browser Hijacker (hp.htm)! Action taken: Keine Aktion vorgenommen.

Fri Jul 20 11:26:21 2007 => Offending file found: D:\Eigene Dateien\musik\basshilfe\bass\faq\player.html
Fri Jul 20 11:26:21 2007 => System found infected with clipgenie Spyware/Adware (player.html)! Action taken: Keine Aktion vorgenommen.

Fri Jul 20 12:41:44 2007 => ***** Scan vollständig. *****

Fri Jul 20 12:41:44 2007 => Gescannte Dateien: 110310
Fri Jul 20 12:41:44 2007 => Gefundene Viren: 6
Fri Jul 20 12:41:44 2007 => Anzahl der desinfizierten Dateien: 0
Fri Jul 20 12:41:44 2007 => Umbenannte Dateien: 0
Fri Jul 20 12:41:44 2007 => Anzahl der gelöschten Dateien: 0
Fri Jul 20 12:41:44 2007 => Anzahl Fehler: 4
Fri Jul 20 12:41:44 2007 => Dauer des Scans bisher: 01:16:50
Fri Jul 20 12:41:44 2007 => Virus-Datenbank Datum: 7/17/2007
Fri Jul 20 12:41:44 2007 => Virus-Datenbank Zähler: 363175

Fri Jul 20 12:41:44 2007 => Scan vollständig.

Dies ist übrigens ein Fall für die e-scan Experten hier im Forum (Wink mit dem Zaunpfahl) :)

Hast Du diese Programme/Dateien unter "Systemsteuerung>Software oder manuell zu löschen versucht?
D:\Eigene Dateien\downloads\macromedia mx 2004
D:\Eigene Dateien\musik\basshilfe\bass\faq\player.html

Leider ist es nicht mehr möglich, den Systemherstellungspunkt bis vor Deiner Infektion zurückzusetzen, weil die Syst.herst. ja deaktiviert wurde und damit sind auch die Wiederherstellungspunkte.Dein Problem ist wirklich nicht alltäglich, Du hast etwas vertracktes drauf. Denn so allmählich vermute ich wirklich einen Backdoor.
Scann Dein System mit Dr.Web
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Lass anschl. diesen Rootkit-scanner laufen:
F-Secure Blacklight > F-Secure Blacklight

Poste das Ergebnis dieser scans, sofern diese etwas finden.

Mittlerweile sind die Probleme, die ich hatte, verschwunden... auf ebenso seltsame Art, wie sie gekommen sind; kurz nach dem Bereinigungsversuch waren sie ja noch da.
Ich werd natürlich trotzdem das System nochmal komplett neu aufsetzen, sobald ich Zeit dafür hab.

Vielen Dank an alle, die sich das geduldig durchgelesen haben und mir Tipps gegeben haben (vor allem Mobius)! Find ich super, dass ihr das macht!

Hallo!
Ich weiß echt nicht, was los ist... ich hab mir wieder etwas sehr ähnliches eingefangen. Und weiß nicht, woher... bzw habe ich nur einen Verdacht, da der Rechner vor einigen Tagen nach dem Öffnen einer Datei seltsam reagiert hatte - es kann aber auch woanders her kommen.
Ich hatte nach dem letzten Mal übrigens die Festplatte formatiert und Windows neu installiert.

Nun habe ich die Programme, die ihr unten genannt hattet, über den Rechner laufen lassen und danach HiJackThis und eScan drüberlaufen lassen.
Wär echt super nett, wenn ihr nochmal kurz über die Berichte schauen könntet:

eScan:
HJT:

Hallo!
Also, weder im e-scan noch im HJT habe ich etwas auffälliges erkennen können. Wieso hast Du überhaupt die Vermutung/Verdacht das Du Dir wieder etwas sehr ähnliches eingefangen hast? Hat Antivir gemeckert?

Mach mal bitte ein neues HJT mit einer aktuelleren Version:
WinTotal - Software - HijackThis
Wenn dieser scan ebenfalls unauffällig bleibt und Du keine Probleme hast, war Dein Verdacht wohl unbegründet.
Ach so, solltest auch mal Deinen Browser auf den neusten Stand bringen: Gibt inzwischen den IE7.

Ich habe die selben Symptome: In Intervallen, die meistens ca 15-30 Minuten dauern, spinnt mein PC und fängt an, wie wild rumzuklicken und Dinge in Eingabefelder zu tippen (teilweise Buchstabensalat, teilweise aber auch vollständige Sätze). Danach ist wieder Ruhe. Ich hatte den Verdacht, dass mein Rechner von jemandem quasi "ferngesteuert" würde, aber als ich das Netzwerkkabel zog, ging es trotzdem weiter.
Heute war bisher Ruhe, aber wie gesagt - es macht nur in Intervallen Ärger.

Die zwei "grokster Spyware/Adware"-Einträge im eScan sind nicht bedenklich?

Hier der Scan mit dem aktuellen HJT:
Den Internet-Explorer hatte ich seit der Neuinstallation nicht benutzt (Windows zwingt ihn einem ja leider auf) - ich war allerdings auch zu faul, ihn zu deinstallieren ;-)

Ich glaub bei Dir sollte man die Sache pragmatisch angehen. Ich werde bei Deinem Problem nach wie vor nicht schlau. Du setzt neu auf und hast die selben Symptome? Und die ganzen Tool`s und Progrämmchen kommen zu keinem Ergebnis?
Welche Software hast Du nach dem Neu aufsetzen wieder aufgespielt? Und ab wann hast Du das Problem festgestellt? Mich würde das jetzt mal interessieren.

017 Einträge sind Lop.com-Domain Veränderungen. Diese IP gehört zu IANA. Wie ist Dein Rechner angeschlossen? Netzwerk und hängt das mit diesem Kolleg zusammen? Ich hab auch das hier gefunden:
Hadiko: Internet
Gehst Du hierüber ins Netz oder von Privat?

Ok, ich fasse zusammen: Ich hatte formatiert und Windows neuinstalliert. Danach die "üblichen" Programme, ich kann jetzt nicht alle aufzählen. Aber es ist in meinen Augen kein "verdächtiges" oder "zwielichtiges" dabei, diesmal war ich etwas selektiver.
Nun lief auch alles anderthalb Monate lang wieder glatt. Doch plötzlich ging es gestern wieder los. Ich hatte in der letzten Woche (bzw den letzten beiden Wochen, wenn ich mich recht erinnere) auch nichts installiert.
Ich ließ danach die Tools, die ihr angegeben hattet, drüberlaufen. Sie verrichteten ihre Arbeit, ohne allerdings Meldungen auszugeben.

Heute gab es übrigens keine Probleme. Aber ich vermute, dass sie nicht aus der Welt sind.

Richtig, ich gehe über das Netzwerk, das du angesprochen hast, ins Internet - gemeinsam mit ca. 800 anderen.

Hi,
benutzt du zufällig eine Funktastatur? Gibt es im näheren Umkreis (evtl sogar Nachber in der Wohnung obendrüber/untendrunter/nebenan) jemanden, der ebenfalls eine Funktastatur besitzt, die auf derselben Wellenlänge sendet?

Die meisten Probleme ähnlicher Natur, die hier bisher behandelt wurden, ließen sich auf solche Ursachen zurückführen.

lg myrtille

Ich benutze tatsächlich eine Funktastatur... der Empfang ist zwar nicht grandios gut, aber theoretisch wäre es möglich, dass von meinen Nachbarn ein Signal ankommt. Das würde alle Symptome erklären, auch dass bei den "sinnvollen" Sätzen, die manchmal auf dem Bildschirm erscheinen, öfters einige Buchstaben fehlen. Und eben, dass es auch passiert, wenn ich offline bin.
Danke für den Tipp, darauf wäre ich nie im Leben gekommen... ich werd morgen mal nachfragen, ob dem tatsächlich so ist bzw beim Auftreten der Probleme einfach mal den Stecker ziehn, um es zu testen.