Trojaner-Board - Hilfefenster öffnet sich ständig

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfefenster öffnet sich ständig (https://www.trojaner-board.de/1526-hilfefenster-oeffnet-staendig.html)

Hallo,
ich bin einer der Microsoft-XP-Müll-Benutzer, gleich vorweg. Mein Problem stellt sich auch als ein Verdacht auf den Trojaner "Claldr.Dummy.C" dar, ich habe mit AntiVir gescannt (und ihn auch damit gefunden), die Datei "count(1).jar" gelöscht, die temporären Internet-Dateien gelöscht, und Ad-Aware laufen lassen.
Nach dem nächsten Scan mit Antivir findet dieser auch nix mehr.
Das Problem besteht aber weiterhin:
Ständig öffnet sich ein Hilfefenster der jeweiligen Anwendung, die ich gerade laufen habe und ich muss es immer wieder schließen. Es ist, wie wenn jemand dauernd die F1-Taste drücken würde. Ich hab sogar die Tastatur ausgetauscht.
Auch bei der Windows-Anmeldung drückt irgend ein unsichtbarer Geist im Kennwortbereich eine Taste und meine Maschine zu piepen anfängt, bis ich Enter drücke (und das Passwort natürlich falsch ist) und mein Passwort "selbst" eingeben "darf".
Handelt es sich hier um die Symptome dieses Trojaners oder ist es ein anderes Problem?
Ich würde Euch sehr danken, wenn Ihr mir helfen könntet und es nicht zuviel Zeit und Aufwand kostet, mir zu antworten - ich bin leider auch nur einer dieser Laien....

Schüss!

Versuche mal deinen PC im Abgesicherten Modus zu starten (beim booten F5 drücken). Wenn das Problem dann nicht mehr anuftritt, ist es höchstwahrscheinlich irgendwelche Malware. Außerdem wäre ein Hijack-This Log hilfreich.

ciao

Danke erstmal für die schnelle Antwort.
Ich habe es mit dem abgesicherten Modus probiert - das Problem scheint nicht mehr aufzutreten. Ich werd mir jetzt diesen Hijack-This Log holen (was auch immer das ist und wo immer ich das auch kriege - ja, das soll eine versteckte Frage sein,ähm...).
Aber was ist Malware, wie Du es beschrieben hast? Und wie kann ich dagegen vorgehn - oder übernimmt diese Aufgabe dann der Hijack-This Log? Ich kann ja nicht immer im abgesicherten da rumgurken ;)

Natürlich wieder nur, wenn Zeit und Güte vorhanden.
Im Danken voraus - Frohbarsch

HijackThis zeigt dir die laufenden Prozesse des PC's an.
Ein wirklicher Schutz ist dies nicht.
Zum Schutz vor Malware (Viren, Würmer, Trojaner, Spyware usw.) lese mal hier: http://www.trojaner-info.de/report_pcsicherheit.shtml

<blockquote>Zitat:<hr />Original erstellt von Frohbarsch:
Danke erstmal für die schnelle Antwort.
Ich habe es mit dem abgesicherten Modus probiert - das Problem scheint nicht mehr aufzutreten. Ich werd mir jetzt diesen Hijack-This Log holen (was auch immer das ist und wo immer ich das auch kriege - ja, das soll eine versteckte Frage sein,ähm...).[/QUOTE]HiJackThis Anleitung
DownloadLink und auch für ein paar andere Helferlein siehe Signatur

Tja, Ihr lieben...
Vielen vielen Dank für Eure Hilfe bis jetzt, ich hab, soweit ich konnte alles befolgt:
- Hijack-Log erstellt und nach den Listen Einträge gefixt
- Nochmal Windows Update gemacht
- Spybot Search & Destroy runtergeladen und ausgeführt (hat einiges gefunden!)
- viele Eurer Links angeschaut und versucht noch andere Antworten zu finden im Forum...

...doch während ich diese Thread schreibe öffnen sich weiterhin immer wieder neue Hilfe-Fenster wie von Geisterhand und ich bin bald sehr schwach mit meinen Nerven.
Habt Ihr sonst noch irgendeinen Vorschlag?
Neu aufsetzen möchte ich möglichst umgehen...Ihr versteht das wohl.
Vielen Dank bis jetzt!

du kannst das Log ja mal hier posten

;)
Was sagen OnlineScans von www.ravantivirus.com und www.trendmicro.de ?

P.S.: Infos zu deinem Trojaner:
http://www.virusbtn.com/resources/vg...my.C&product=0

Wo wurde der denn jeweils genau gefunden (kompletter Pfad/Ordner/Dateiname) ?

Wenn er NUR!! im Browser- oder JAVA-Cache gefunden wurde, dürfte er nicht aktiv gewesen sein ;)

Versuch´s doch mal mit einem OnlineScan und a² OnlineScan

Edit : Secutity Check

Jetzt scanne ich gerade online.
Der zuletzt gefundene Trojaner (Ich erinnere mich nur an das Wort "Dummy" - leider wurde die Reportdatei schon überschrieben) war auf jeden Fall im Temporary Internet Files-Ordner.
Vielleicht ist er auch nicht das Problem.

Ich poste jetzt mal das Log, vielleicht könnt ihr mehr damit anfangen.

Also:
Logfile of HijackThis v1.97.7
Scan saved at 12:43:29, on 28.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\atwtusb.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\TBLMOUSE.EXE
C:\Programme\Microsoft Hardware\Mouse\POINT32.EXE
C:\Programme\Adobe\Photoshop CS\Photoshop.exe
C:\Programme\Adobe\Illustrator CS\Support Files\Contents\Windows\Illustrator.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\emule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Everyday.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07d9e032...p/RdxIE601.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...022.2517824074
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------

(gegen die Zeilenumbrüche kann ich leider nichts tun!)

Ihr seid wirklich schnell, danke...

Der Online Scanner hat übrigens schon 2 Dateien gefunden: 2x "add7[1].htm" im temp.internet files ordner...

<blockquote>Zitat:<hr />Original erstellt von Frohbarsch:

O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

[/QUOTE]Hi, obiges sollte raus, weil böse oder unnötig

Außerdem:

1) --> Ad-aware, spybot und cwshredder installieren, updaten, scannen und bereinigen lassen

von http://www.lurkhere.com/~nicefiles/index.html bzw www.lavasoft.de

2) ALLE Startaufrufe prüfen, ob's was bösartiges oder unnötiges ist &
ggfs. bereinigen: mit Log-Datei von Hijackthis
( http://www.trojaner-board.de/51130-a...jackthis.html) in Kombination mit:
a) Datenbank www.sysinfo.org/startuplist.php & google
b) KAV-Scanner (s.u.)
Falls es dann noch probleme gibt, neues log hier posten

--> Scannen und bereinigen/fixen geht ggfs. besser im abgesicherten Modus (F8-Boot)

weitere Details/Links: Forensuche

***
P.S.: Was für Viren/Trojanernamen meldet denn der Onlinescanner (welcher?)

Hast du deinen IE abgesichert (AcitveX & scripting deaktiviert)?

Der RAV Antivirus Scanner nennt keine Virus Namen, nur die infizierten Dateien:
C:\Dokumente und Einstellungen\MeinName\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6A6DF2EP\add7[1].htm->(EncScript) - JS/Seeker-based.gen* -> Infected
C:\Dokumente und Einstellungen\MeinName\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C6FVDCP8\add7[1].htm->(EncScript) - JS/Seeker-based.gen* -> Infected

Ausserdem sieht man garnicht, ob er die jetz gelöscht hat oder nicht, sonst mach ich's von Hand...
Aber das isses wohl auch nicht. Übrigens hab ich versehentlich das Hijack-Log geschickt, das ich vor dem fixiern gespeichert hab, sprich alle von dir genannten Einträge hab ich bereits gelöscht und PC neu gestartet. Spybot, Ad-Aware hab ich auch schon längst laufen lassen.
Es tut sich nix. Ausser dauernd Hilfefenster. Hach...
Ich schau mal weiter...
Danke trotzdem!!

JS/Seeker-based.gen
ist in dem Fall der Virus-Name

Generell ist dein HijcktThis-Log/die Startaufrufe sehr überladen;
prüfe mal selber mit o.g Anleitung, ob da nicht noch mehr raus kann.
Dann poste ggfs ein neues Log..

Evtl sieht man auch hiermit noch etws mehr:
http://www.diamondcs.com.au/index.php?page=asviewer

Bin mir nicht ganz sicher, aber bei aktualisiertem WIN & abgesichertem IE dürfte der JS/Seeker eigentlich gar nicht im IE-Cache auftauchen ??

Ich hab noch den Security Check online laufen lassen. Beim Full Scan hat er 14 offene Dienste gefunden.
Z.B.: Fraggle Rock, md5 Backdoor, Netspy, Remote Storm wurden bei 1025/TCP gefunden.
Wie kann ich dagegen vorgehn?

<blockquote>Zitat:<hr />Original erstellt von Frohbarsch:
Z.B.: Fraggle Rock, md5 Backdoor, Netspy, Remote Storm wurden bei 1025/TCP gefunden.
Wie kann ich dagegen vorgehn? [/QUOTE]Das bedeutet nur, dass die genannten Trojaner POTENTIELL diese Port benutzen können (nicht müssen!), aber nicht, dass die bei Dir aktiv sind

Du könntest
a) den zugrundeliegenden Dienst schließen, der Port 1025 offenhält (es wird vom TaskPlaner berichtet, das Deaktivieren desselben ist aber auf XP nicht unbedingt ratsam, da dann verschiedene Sachen nicht mehr funktionieren: imho PreFetch & RESTORE/Systemwiederherstellung)

b) mit einer Firewall diesen Port gegen Zugriffe von außen schließen (ob die eingebaute XP-Firewall dies kann ist mir nicht bekannt)
c) damit leben, da es bei aktualisiertem WIN momentan imho kein großes Sicherheitsrisiko darstellt (außer der Tatsache, dass dein Rechner im Netz sichtbar ist: ob scheinbar geSTEALTHte Rechner nun sicherer sind, so jetzt mal dahin gestellt :D :D ;) ) ;)

Aha, danke. Das beruhigt mich ein wenig...
Das Blöde is nur, daß ich jetzt schon so ziemlich alles (mir) mögliche getan und alles nochmal gescannt habe auch mit a² und allem, was ihr mir empfohlen habt. Meine Hilfefenster gehn trotzdem dauernd auf. Meine Scanner erkennen aber keine Malware. Eure Foren hab ich soweit durchforstet (natürlich noch bei weitem nicht alles). Ich hoffe, ich fang nicht zu nerven an, aber fällt euch noch irgendwas ein?? Es ist ja auch nicht das schlimmste Problem, aber es nervt halt elendig...
Immer wieder vielen Dank für Zeitaufwendung eurerseits, im Übrigen.