Ty4Pi Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 Guten Abend liebe Leute ich habe hier ein total uriges Problem auf einem XP-Rechner Der Rechner macht alle 10 - 15 sekunden ein Geräusch, als wenn man mit einer alter Camera nen Photo macht Also von Hand aufziehen auslösen und wieder aufziehen ..die "alten" Photografen kennen das Geräusch bestimmt Rechner ist vor 2 Wochen frisch gemacht worden 1200 AMD 1 GByte RAM SB Live GeFo2 MX GraKa Realtek NIC Das Geräusch kommt aus den Soundkarten-Lautsprechern ...zieht man diese ab, ist das Geräusch weg Irgendwer eine Idee? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 Jau. Mal bitte den Rechner mit Hijackthis scannen und das Log posten. Könnte ja ein kleines heimlich gestartetes Programm sein. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Ty4Pi Geschrieben 3. Mai 2005 Autor Teilen Geschrieben 3. Mai 2005 Logfile of HijackThis v1.99.1 Scan saved at 19:38:27, on 03.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ISTsvc\istsvc.exe C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe C:\programme\180solutions\sais.exe C:\WINDOWS\wxnokh.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\iexplore.exe D:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [bDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [XVN5A] C:\WINDOWS\wxnokh.exe O4 - HKLM\..\Run: [internet Optimizer] "C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpb.exe O4 - HKLM\..\Run: [mzsvuj] C:\WINDOWS\mzsvuj.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [XV÷h$vùõš/‚²ÂÆßfÃNC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\wxnokh.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM) O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - h**p://sat1.midasplayer.de/midasa.cab O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111095026348 O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - h**p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_download.cab O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - h**p://www.xs4all.nl/~kuhljf/nl.exe O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.service-url.de/InstallationsAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{1BAF82F4-377D-4902-BD46-29BCF4A20346}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{1BAF82F4-377D-4902-BD46-29BCF4A20346}: NameServer = 217.237.149.161 217.237.151.225 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe Bitte sehr Ich denke 1 Tool habe ich schon entdeckt ... was ist denn noch alles gefährlich?? AVEN: Ich hab die Links in dem Log mal entschärft... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Ramses_PyramidenVerleih Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ISTsvc\istsvc.exe C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe C:\programme\180solutions\sais.exe C:\WINDOWS\wxnokh.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe C:\WINDOWS\System32\devldr32.exe D:\HijackThis.exe Also, oben mal deine Liste der laufenden Prozesse, um die gekürzt, die ich kenne, oder die bei mir auch laufen. Interessant sind da natürlich die C:\WINDOWS\wxnokh.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\nvsvc32.exe weil die im Windowsverzeichnis liegen. Und die hier sehen für mich auch komisch aus: C:\Programme\ISTsvc\istsvc.exe C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe C:\programme\180solutions\sais.exe Da musst du natürlich jetzt wissen, welche zu welchem Programm gehören. Lass dir am besten von allen oben mal die Eigenschaften anzeigen und schau mal nach, ob es dazu noch weitere Informationen gibt. Ansosnten kann ich nur raten, Virenscanner installieren und updaten, einen Komplettn Virenscan durchführen Soviel von meiner Seite dazu Gruß Ramses Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 Aua... Das System läuft noch? O4 - HKLM\..\Run: [internet Optimizer] "C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe" http://www.sophos.de/virusinfo/analyses/trojdlucaj.html C:\WINDOWS\wxnokh.exe überprügen, ich halte es für verdächtig. O4 - HKLM\..\Run: [XVN5A] C:\WINDOWS\wxnokh.exe O4 - HKLM\..\Run: [internet Optimizer] "C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpb.exe O4 - HKLM\..\Run: [mzsvuj] C:\WINDOWS\mzsvuj.exe hoch verdächtig. O4 - HKLM\..\Run: [XV÷h$vùõš/‚²ÂÆßfÃNC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\wxnokh.exe ebenso. O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll http://www.trojaner-board.de/archive/index.php/t-16125.html O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) entfernen O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab Sehr merkwürdiges Zeug, im Zweifel weg damit. O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...06_download.cab O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.xs4all.nl/~kuhljf/nl.exe O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.service-url.de/Insta...nsAssistent.ocx Sieht böse nach diversen Browserhijackern aus. O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll Verdacht auf: Trojan-Clicker.Win32.Agent.ac Die Geräusche könnten von dem Popupstopper stammen, da kann man pro geblocktes Popup ein Geräusch reindefinieren. http://www.panicware.com/product_psfree.html Somit schaukeln sich hier vielleicht Adware-Popups und Popublocker hoch. Meine Meinung zu dem Ganzen: entweder mit viel Zeit drangehen und das System säubern, ohne sicher zu sein, dass das ganze wieder sauber und stabil laufen wird oder: format c: Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Ramses_PyramidenVerleih Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 Noch ein kleiner Nachtrag aus Google: C:\programme\180solutions\sais.exe Das ist Spyware, Informationen dazu gibbet HIER C:\Programme\ISTsvc\istsvc.exe Das ist Spyware, Informationen dazu gibbet HIER Also für zwei Wochen doch schon ein beachtlicher Erfolg an Spyware auf deinem Rechner :uli Soviel von meiner Seite dazu Gruß Ramses Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Ty4Pi Geschrieben 3. Mai 2005 Autor Teilen Geschrieben 3. Mai 2005 zum glück ist das nicht mein rechner ok ..werde ich mir dann mal am freitag bisschen zeit nehmen für den rechner verstehe ich echt nicht, wo sich die immer son ******* einfängt Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Ramses_PyramidenVerleih Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 verstehe ich echt nicht, wo sich die immer son ******* einfängt Vielleiht im Internet??? :beagolisc Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 verstehe ich echt nicht, wo sich die immer son ******* einfängtStatt Internet Explorer mal einen alternativen Browser verwenden? Firefox ist eine nette Alternative. Mit Spybot Search & Destroy das System immunisieren. Das Antispywaretool Beta von Microsoft ist auch sehr nett zur Immunisierung im Hintergrund. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 Die wxnokh.exe hört sich für mich nach aurora an. Hast Du ab und an auch ein paar kleine popup mit Titel Aurora? Dannexistiert vielleicht auch ne nail.exe im Systemroot. Hartnäckigst. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 3. Mai 2005 Teilen Geschrieben 3. Mai 2005 Hier die grafische Auswertung des geposteten HiJackThis-Logfiles via www.hijackthis.de: http://www.hijackthis.de/logfiles/203d95818795f0be66de341f898f9421.html Mein Tip: Neuinstallation. Alles andere ist bei dieser Masse an Malware nur Zeitverschwendung. Dann unbedingt: - Regelmaessige Windows Updates durchfuehren - Immer aktuellen Virenscanner nutzen (Updateintervall: minimal taeglich, besser stuendlich) - Keine Administratorberechtigungen zum normalen Arbeiten und Surfen verwenden: eingeschraenkten Benutzer anlegen bzw. Administrator-Berechtigungen entziehen und das Administrator-Kennwort aendern - Alternativprodukte zum IE (Firefox, Mozilla, Opera, ...) und Outlook/Outlook Express (TheBat, Pegasus, Eudora, AK-Mail, ...) nutzen - Bei Analog/ISDN-Verbindung ueber eine dauerhafte Sperre von 0190/0900 beim Provider nachdenken und ggfls. umsetzen lassen (einmalige Kosten ca. 10 Euro) - Und ganz wichtig: <gebehtsmuehle>Nicht alle Links und auch keine Anhaenge unaufgeforderter Emails oeffnen</gebehtsmuehle> Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ingh Geschrieben 6. Mai 2005 Teilen Geschrieben 6. Mai 2005 Mal abgesehen davon, dass das System wohl eh hinüber ist.... Das beschriebene Geräusch ist höchstwahrscheinlich "start.wav" - dieser Ton ist in einer Standardinstallation dem Punkt "Navigation beginnen" (zu finden im Abschnitt "Windows-Explorer" unter Systemsteuerung/Sounds) zugeordnet, und erklingt immer dann, wenn eine Explorer- oder Internet Explorer-Seite sich fertig aufgebaut hat. Im Zusammenhang mit der beschriebenen Malware könnte es sich um (mindestens) ein verstecktes IE-Fenster handeln, das mit einer Reload-Funktion arbeitet. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.