Kann Maus nicht bewegen
 

Hallo alle

Ich habe seit ca. 1-2 Monaten ein Problem, folgendes:
Wenn ich mein Notebook starte, is alles normal, logge mich ein und dann kann ich die Maus nicht mehr bewegen! Ich logge mich automatisch (!) ins MSN ein und der loescht mir meine Kontakte und macht sonst was und kann halt nichts machen, Avast findet nichts mehr. Jetzt muss ich immer im abgesicherten Modus surfen, das nervt echt. -.-

Danke fuers Lesen

mfG

Was heißt "nicht mehr", was hat der denn vorher gefunden? Bitte genaue Schädlingsnamen mit Pfaden posten, sofern du diese Infos noch hast, schau dazu ggf. ins Log des Virenscanners nach.
Poste bitte auch ein Hijackthis-Logfile.

Wo finde ich das Log des Virenscanners? Sorry, ich kenn mich nicht allzu gut damit aus.


Hier der Scan:

Logfile of HijackThis v1.99.1
Scan saved at 11:46:49 AM, on 7/6/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe (dieses File findet es manchmal nicht, weiss jemand warum?)
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dllcache\winsony.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\System32\wimnini.exe
C:\WINDOWS\System32\sysmgr32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Cablecom Assistant\bin\mpbtn.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\YYY\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\mswsgs.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ActiveScript32] C:\WINDOWS\System32\sysmgr32.exe
O4 - HKLM\..\RunServices: [ActiveScript32] C:\WINDOWS\System32\sysmgr32.exe
O4 - HKCU\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Injection Blocker - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe

Ich freue mich auf eure Antworten, letztes Mal konntet ihr mir auch helfen ^^

Ist auch nicht mehr nötig, denn dein System ist völlig im Eimer, und es liegt auch auf der Hand warum:
Das System ist ungepatcht und verwundbar! Hier fehlt mindestens das SP2!
LSASS.EXE in System32 ist eine Windows-Systemdatei.Evtl. hat sich bei dir eine andere Datei mit gleichem Namen in einem anderen Ordner eingenistet (zwei Dateien mit gleichem Namen im selben Ordner geht nicht...)
Diverse Schädlinge: Backdoors, Keylogger etc.
Eindeutig klarer Fall: System umgehend physikalisch vom Internet trennen, neu aufsetzen, absichern, erst dann wieder ins Netz und umgehend alle Passwörter ändern. Falls du online banking betreibst, Kontostand im Auge behalten ;)

Kann ich die Keylogger bzw. Backdoor-Trojaner nicht deleten mit Avast? Weil sonst muss ich n Teil auf den USB Stick schmeissen.

Sind meine Mail Konten sehr gefaehrdet?

Nein geht nicht. Wie ich schon sagte ist das System völlig im Eimer, nix mit Löschen dieser Dateien, das wird nichts ändern.

Okey, dann danke ich dir sehr und formatiere kurz das Notebook, muss ich NTFS oder NTFS (Quick) nehmen? Ich nahm immer Quick da das andere immer bei 61% stecken blieb.

Quick sollte ausreichen.
Normal ist es aber nicht, dass beim normalen Formatieren der Rechner abstürzt. Könnte auf Festplattenprobleme deuten.
Achte unbedingt darauf, dass das SP2 offline eingespielt wird.

Das geht bei mir leider nicht, da die CD-Rom sehr alt ist und sie nur dsa SP 1 hat, und kenn auch niemanden in der Naehe, der SP 2 auf CD hat.

Wenn ich wieder On bin, poste ich noch n HiJackThis File, dann kannst du gucken, ob eventuell noch was drauf waere, hoffe nicht.

CYA

Da muss es ne Möglichkeit geben, frag einen bekannten mit sauberem System, ob er das nich schnell auf CD brennen kann. Oder besorg dir ne Knoppix-CD und lad es da runter. Man, das SP2 gibtes seit fast drei Jahren, und du hast das nicht irgendwo auf CD? Kann doch nicht angehen...

Wenn du richtig neu aufgesetzt hast, gibt es keinen Grund nochmal zu analysieren. Komm aber nicht auf die Idee, ohne das SP2 ins Internet zu gehen.

So, nach laengerer Installation des SP2s bin ich wieder im abgesicherten Modus drin -.- Mein I-Net geht nur im abgs. M. jetzt, kA warum, noch der Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:00:10, on 06.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Opera\Opera.exe
C:\DOCUME~1\Kevin\LOCALS~1\Temp\Rar$EX00.204\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hispeed.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [Nex] C:\WINDOWS\System32\nex.exe
O4 - HKLM\..\Run: [Winamp Media] C:\WINDOWS\system32\qmedia.exe
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MotiveReportAgent] "C:\Program Files\Common Files\Motive\McciBootStrapper.exe" /url="-url=file://C:\Program Files\Common Files\Motive\ReportAgent.html" /browsertype=CustomMSIE /browserpath="C:\Program Files\Common Files\Motive\MotiveBrowser.exe" /hidden
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Winamp Media] C:\WINDOWS\system32\qmedia.exe
O4 - HKCU\..\Run: [Nex] C:\WINDOWS\System32\nex.exe
O4 - HKCU\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\svch.exe
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O4 - Global Startup: icq.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


PS: Wie kann man aus diesen Logs herauslesen was Abfall ist?

Das SP2 bewahrt dich nicht vor einem Neuaufsetzen!
Zu den bereits bekannten Backdoorbefällen:
Gesellen sich jetzt noch mehr:
Übrigens ist das Log nicht vollständig, da fehlen die letzten Zeilen über eingetragene Dienste etc. Ist aber auch irrelevant.

Unbedingt Neuaufsezten!!! <klick> Auf jedenfall auch sämtliche Passwörter ändern und nen Auge aufs Onlinebanking behalten, solltest du sowas von der Kiste aus betrieben haben!


Den Müll in solchen Logs findet man übrigens indem man jeden Eintrag, jede Datei, die man nicht als gut identifizieren kann googelt und nach seriösen Seiten (microsoft, castlecops, avira, sophos...) schaut auf denen die Datei und ihre Existenz erklärt werden.
lg myrtille

Ich habe vorher neu augesetzt, was nun?! Bedeutet das die Trojaner irgendwie auf meiner Reboot CD sind?

Du hast neuaufgesetzt? :eek:

Warst du evtl ohne SP2 im Internet? Das würde einiges erklären. Ansonsten bleibt eigentlich nur die Möglichkeit, dass die Trojaner auf deiner Windowscd sind, was mehr als unwahrscheinlich ist, da es nicht dieselben Burschen sind, die du vorher an Bord hattest.

Ich würd allerdings zum neuinstallieren ne originalwindowscd/recoverycd nehmen, da diese nicht kompromittiert sind.

Was hast du denn bisher außer Windows noch installiert?

lg myrtille

Ja war ich, sonst haette ich SP2 nicht downloaden koennen =(

Ich habe Avast, Opera, HiJackThis, WinRar und messchange gedownloadet.

Wo bekomme ich so eine Recovery CD?

Wenn du ungepatcht im Netz warst, dürfte klar sein, woher deine Infektionen kommen. Eine Studie hier im Board ergab, dass es etwa 4 Minuten dauert bis ein ungepatchter Rechner infiziert ist: 4 min
messchange kenn ich nicht, aber ich vermute, dass die installer alle sauber waren, wenn du sie dir neugeladen hast. Das ist ein weiterer wichtiger Punkt um sein System nicht selbst wieder zu kompromettieren: Keine ausführbaren Dateien aus dem verseuchten System übernehmen! Also Installer von Opera, HJT etc neuladen, Avast und co von CD aus installieren.

Die Recoverycd kommt iA mit wenn man den Rechner fertig zusammengestellt kauft. Stellt man sich den Rechner selbst zusammen sollte man eine eigene Windowslizenz erwerben und so ebenfalls eine Windowscd besitzen.

cosinus schrieb dies nicht umsonst. Deswegen musst du jetzt alles nochmal machen. :o

Daher erst SP2 (in einer sicheren Umgebung) runterladen, das auf CD, usb, sonstwo speichern, dann den Rechner neuaufsetzen und VORM ersten Internetkontakt SP2 einspielen. Sonst hat dein Rechner da draußen keine Überlebenschance. :o

Also kann ich SP2 auf nen Datentraeger schmeissen ohne das es selber infiziert wird? Muss schnell suchen gehen und danach den ganzen Mist nochmals -.-

Wo bekomm ich so ein Sniffer-Progi her? Also wo man sieht, von wo welcher Virus kommt?

Nein. Du musst die Datei in einer sicheren Umgebung runterladen, sprich du lässt es entweder von jemanden runterladen, von dem du glaubst, dass er sauber ist.

Oder aber (und das dürfte die sicherere Variante sein) du lädst dir ein Betriebssystem, dass von ner CD aus gestartet werden kann, wie knoppix, und lädst dort die Datei (mit einem nunmehr sauberen Betriebssystem) erneut runter.

Alternativ kann man sich SP2 übrigens auch für 8 Euro von Microsoft schicken lassen.

lg myrtille

Dann telefonier ich mittags gleich herum. Eventuell weiss ich wo ich eine herbekomme.
Danke fuer eure Hilfe, werde morgen nochmals posten wie es aussieht mit meinem Notebook

Drück dir die Daumen, dass es dieses Mal besser läuft. ;)

Wenn du dich genau an unsere Anleitung (FAQ-Abteilung) hälst, dürfte eignetlich nicht mehr viel schiefgehen. :)

Und an deiner Stelle würde ich mal über ein Imageprogramm nachdenken, wenn man die Speicherkapazitäten hat, sind sie eine tolle Alternative zum Neuaufsetzen. :)

lg myrtille

Vielen Dank =)

Mit meiner kleinen Festplatte von 27 GB bringt man nich sehr viel drauf xD

Schlaf gut

Da ist das dann weniger sinnvoll. :D

Dann würde ich dir raten (so mach ich das auch, hab schließlich nur 10 Gig mehr als du ;)) aufm sauberen Rechner ne CD anzulegen mit SP2 und den ganzen Free- und Sharewareinstallern, die du so hast.
Dann geht das nächste installieren viel schneller von sich, weil du nicht ewig Bestandteile nachladen (und googlen) musst und der große Vorteil von ner CD ist, dass kein Wurm die Dateien mehr verändern kann. :D

wünsche ebenfalls eine gute nacht! :)
lg myritlle

So, neu aufgesetzt, offline installiert und geloggt:

Logfile of HijackThis v1.99.1
Scan saved at 02:10:01, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Cablecom Assistant\bin\cablecom_assistant.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Program Files\Lavalys\EVEREST Home Edition\everest.bin
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Kevin\LOCALS~1\Temp\Rar$EX01.916\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hispeed.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://pansalto.cablecom.ch/wizlet/ReportAgent/reportAgentPrepare.do?embedded=false
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe



Sind noch Schaedlinge drauf?
PS: Warum steht dort was von Windows Messenger? Habe es nicht installiert-.-

Windows Messenger hat Windows für dich installiert beim Neuaufsetzen. Wie zb auch Internet Explorer, Windows Mediaplayer etc.
(Du kannst ihn aber glaube ich einfach unter Systemsteuerung->Software->Windowskomponenten deinstallieren)

09 sind Buttons in der Taskleiste vom IE, bzw Einträge im Kontextmenü, von denen geht selten Gefahr aus. Wenn du den Button aber nicht nutzen wirst, kannst du ihn natürlich fixen. ;)

Ansonsten sieht dein Log jetzt sauber aus! :daumenhoc

lg myrtille

Juhu, ich danke euch allen ^^

Jetzt noch was, um zu wissen, was bei einem Log infiziert sein koennte, muss man ja wissen was gut ist, also aus was Windows besteht, geht das auch anders, also das man es herauslesen kann? =D