Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Fenster öffnen und schließen sich (https://www.trojaner-board.de/11042-fenster-oeffnen-schliessen.html)

VSNFZ 21.12.2004 08:44
Fenster öffnen und schließen sich
 
Hallo,
habe ein Problem, vielleicht könnt ihr mir weiterhelfen.
In unregelmäßigen Abständen macht sich "mein Bildschirm selbständig", das heißt, es gehen für eine Dauer von ca. 10 Sekunden blitzschnell verschiedene Menüs auf, Fenster werden verkleinert oder verschoben, Menüleisten verschoben usw.
Manchmal passiert nichts tragisches aber manchmal ist etwas verstellt und muß wieder korrekt eingerichtet werden.
Schäden habe ich keine, ist aber sehr lästig.
Mein stets aktueller Virenscanner AntiVir und auch mein immer aktueller "Zweitscanner" e scan melden nichts.
Auch nicht nach kompletten scan der Festplatte.
Auch Ad Aware findet nichts.
Habe desweiteren ZoneAlarm Firewall.

Habt ihr mir einen Tip?

Vielen Dank und Grüße aus Villingen-Schwenningen

Andreas

P.S. Bin neu hier und kein Virenexperte, also bitte etwas ausführlicher erklären.

MountainKing 21.12.2004 08:49
Hi,

bitte ein Log mit diesem Programm erstellen:

www.hijackthis.de


Inhalt hier ins Forum posten.

VSNFZ 21.12.2004 09:54
Hi MountainKing,

danke für die schnelle Antwort.
Hier mein Log.
Eine Präventivfrage: was beduetet es wenn man sagt "fixe die Datei xyz"?

Gruß

Andreas

Logfile of HijackThis v1.99.0
Scan saved at 09:51:47, on 21.12.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\DISKEEPERLITE DEFRAG\DKSERVICE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ANTIVIRPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\POP-UP STOPPER\PSFREE.EXE
C:\PROGRAMME\BHODEMON 2\BHODEMON.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\MAPISP32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ariva.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Eigene Dateien\ws.js
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\PROGRAMME\WINSWEEP\SURFBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\ANTIVI~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [DkService] C:\Programme\DiskeeperLite Defrag\DkService.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRAMME\POP-UP STOPPER\PSFREE.EXE"
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programme\Purgatio Pro\checker.exe /check"
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/31750e24...dxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab

Bolek 21.12.2004 09:57
ein häkchen im hijackthis vor den prozes datei und fixen (löschen).
hab dein log hier Link ausgewertet und nix böses hat die seite gefunden aber bin nicht sicher
100% sicherheit hat man nie.
hast du escan geupdatet und im abgesichertem modus laufen lassen und das wichtigste unter eigene dateien, extras, ordneroptionen, ansicht "geschützte systemdateien ausblenden" häckchen entfernen und weiter unten "versteckte dateien und ordner-"alle dateien anzeigen". eingestelt?

VSNFZ 21.12.2004 10:21
Hi Bolek,

hatte escan im abgesicherten Modus laufen lassen (auch antivir und ad Aware), hatte aber keinen Virenfund.
Hatte unter "Ordneroptionen" , "Ansicht", bei "Versteckte Dateien" deas Feld "Alle Dateien anzeigen" markiert.
Ein weiteres Feld "Geschützte Systemdateien" habe ich nicht gefunden, vielleicht weil ich noch das alte Windows98 habe??

Gruß

Andreas

Bolek 21.12.2004 10:24
sry hab ich falsch geckukt das kann sein das bei 98 dies nich dabei ist.
warte bis ein erfahrener bei dir hier reinschaut die werden dir hoffentlich helfen können den ich würd dir auch nur sagen könen das du adaware und spybot drüberlaufen sollst aber wenn die nix finden oder dein rechner ist schon so voll von schädlingen das nix mehr erkannt wird aber wearten wir lieber auf prouser

*Christian* 21.12.2004 22:13
Fixe doch gleich mal dies:

O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

VSNFZ 22.12.2004 09:06
Hi Christian,

habe die beiden Punkte gefixxt und nun, war das die Ursache??

Gruß

Andreas

grisu 22.12.2004 11:24
Hallo Mountinking, hallo VSNFZ!

Habe leider auch dasselbe Problem und erlaube mir auch folgendes zu posten:
folgendes log habe ich erstellt:
Logfile of HijackThis v1.99.0
Scan saved at 10:54:08, on 22.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\hihu\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=122904 serial=DR12CNC-8322248-nft lang=DE
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103460779329
O17 - HKLM\System\CCS\Services\Tcpip\..\{2127230C-D14D-411E-9EDC-FED15A5E2778}: NameServer = 195.3.96.68 213.33.98.136
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Habe schon alle Partitionen gescannt mit Antivir, pestpetrol, tunup utility.
habe auch zone alarm laufen. bis jetzt nichts gefunden.
habe eine bootdisk mit WinMe erstellt hochfahren lassen und den Befehl: fdisk /mbr eingegeben.
habe mit drive image eine sicherung zurückgespielt. keine erfolg.

vielleicht könnt ihr mir auch weiterhelfen.
danke im voraus
grisu


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:44 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129