mysteriöses Virus schließt bestimmte Dokumente bei Mausberührung

[kuzdu]

Hi,

also ich glaube/denke/weiß, dass ich mit nem Virus infiziert bin.
Jetzt ist dieses Virus, aber anders als die "Standart-Teile", die ich kenne.

Also wenn ich etwas öffne, FTP-Manager,Trillian-History,Textdokument, dann schließen sie sich, sobald ich sie mit der Maus berühre, das gilt auch für den WindowsTaskManger.

Es gibt allerdings Programme, wie Opera/Panda/Trillian (normaler Chat)/Winamp (und wahrscheinlich noch viele Mehr), die sich nicht schließen.

Ich wollte mal Fragen, ob ihr schonmal was von so einem Virus gehört habt?
Ich kenne das überhaupt nicht.
Wenn jmd ne Lösung hat, wäre ich wohl interessiert, ansonsten geht es mir eher mal mehr über das Virus in Erfahrung zu bringen.
Googeln ist ein bisschen schwierig, weil ähm ich wusste nicht genau wonach ich suchen soll, bei Virus kommen zieg Sachen, bei Virus Maus schließt, findet man nicht wirklich was und google gibt einem biologische Ergebnisse.

Naja wen das Thema genauso wie mich interessiert, der kann ja posten.
Wer das Virus kennt (und es besiegt hat?, mir bitte posten).

Prozesse kann ich euch nicht anzeigen lassen, weil der Manager sich ja immer schließt

greetz

Kuzdu

 

[bitmuncher]

Ich hab zwar Null Ahnung von Windows, aber langsam sollte bekannt sein, daß die Leute hier gern ein Log von HiJack-This sehen wollen um genaueres sagen zu können. Dafür gibt es hier sogar einen Sammelthread: HiJack-This-Log Sammelthread Ich denke mal, daß du es auch mal damit versuchen solltest. Auf deren Homepage kann man sich die Logs meines Wissens nach auch auswerten lassen.

 

[odigo]

Kleiner Tipp: Windows lässt sich, wenn auch etwas umständlich mit der Tastatur bedienen. Vielleicht geht das ja, ich meine wegen deinem Mausproblem.

Ansonsten schließe ich mich mal bitmuncher an. Da liegt man nie ganz falsch

Gruß odigo

 

[Corex]

Hört sich eher wie ein "Trojaner" an.

Vielleicht erlaubt sich da auch nur jemand einen Spaß X(

 

[IsNull]

Original von Corex
Hört sich eher wie ein "Trojaner" an.

Vielleicht erlaubt sich da auch nur jemand einen Spaß X(

Was es für ein Ding ist, ist doch völlig egal. Wichtig ist nur dass es unerwünscht ist und entfernt werden muss.


Falls hijackthis nicht funzt, boote im Abgesicherten Modus, und versuche es so noch mal. Mal einen Bilck in msconfig* zu werfen währe dann sicher auch nicht falsch.

*(Start/Ausführen und dort "msconfig" eingeben und bestätigen. Dort dann in den Reiter Systemstart wechslen.)

Gruss
IsNull

 

[kuzdu]

Ne wollte gar nicht, dass das hier so ein "Wie-entferne-ich-mein-Virus"-Thread wird, wollte nur mehr über das Virus wissen, wenn ich das Programm per ALT+TAB "anvisiere" schließt es sich auch.

Trotzdem hier mal der HiJack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:15:36, on 08.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
[B]C:\WINDOWS\system32\lsass.exe[/B]
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Allstar Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Allstar Programme\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Allstar Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
c:\allstar programme\panda software\panda internet security 2007\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Allstar Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE
C:\Allstar Programme\Xammp\xampp\apache\bin\apache.exe
C:\Allstar Programme\Opera\Opera.exe
C:\Allstar Programme\Trillian\trillian.exe
C:\Allstar Programme\Winamp\winamp.exe
C:\Allstar Programme\Xammp\xampp\FileZillaFTP\FileZillaServer.exe
C:\Allstar Programme\Xammp\xampp\mysql\bin\mysqld-nt.exe
C:\Allstar Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Allstar Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Allstar Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Allstar Programme\Xammp\xampp\apache\bin\apache.exe
C:\Allstar Programme\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
c:\allstar programme\panda software\panda internet security 2007\WebProxy.exe
C:\Allstar Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\asd\LOKALE~1\Temp\Rar$EX00.719\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Allstar Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Allstar Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ALLSTA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Allstar Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [APVXDWIN] "C:\Allstar Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Allstar Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Allstar Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Allstar Programme\Xammp\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Allstar Programme\Xammp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: mysql - Unknown owner - C:\Allstar Programme\Xammp\xampp\mysql\bin\mysqld-nt.exe" "--defaults-file=C:\Allstar Programme\Xammp\xampp\mysql\bin\my.cnf" mysql (file missing)
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Allstar Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Allstar Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Allstar Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\allstar programme\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Allstar Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Allstar Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

Ähm ja...bin ich hier dann noch richtig mitm dem Log oder soll ich mich jetzt zum Sammelthread wenden?

Ihr kennt son Virus auch nicht oder?

greetz

Kuzdu

 

[lightsaver]

also ich konnte in dem log nichts verdächtiges finden.

im zweifelsfall gilt hier natürlich wieder der tip: windows komplett neu installieren, da dir kein sicherheitsprogramm wirklich 100%ige sicherheit gewährleisten kann und die anzeichen für einen schädling ja schon da sind

 

[IsNull]

Boote mal im abgesicherten Modus. Wenn da dieses Phänomen auch auftritt, dann musst du formatieren. Wenn nicht, würde ich Programm um Programm wieder im Autostart automatisch starten lassen(bei msconfig häckchen setzen), bis du weist, welches der Übeltäter ist. -Die Auswirkungen sieht man ja sofort

Die hijacktis Autologfile-Auswertung melded übrigens, das exe'n vom Panda-Antivirus nicht am originalen Platz sind- Hast du bei der Installation mal was am Pfad gescharubt? Ansonsten lösche doch mal den Panda-Antivirus.


Gruss
IsNull

 

[Bam]

moin!

also mysql-, filezilla-server und der ganze andre unnötige mist, kann durchaus bei falscher konfiguration ursache für dein problem werden.

die entscheidende frage ist jetzt denke ich nur, wieviel aufwand ist dir deine aktuelle systemkonfiguration wert? formatieren und win neu installen kann man immer, ich habs noch nie getan bei der maschine an der ich gerade sitze

greets,

Bam


Edit: vlt findet fport was verdächtiges...
( http://www.wintotal.de/softw/index.php?rb=31&id=2393 )

einfach die fport.exe in den windows-ordner hauen, auf start->ausführen, dann "cmd" eingeben, enter. und dann gibste fport ein, drückst wieder enter^^ und jetz markierst du das was er ausspuckt ( rechtsklick->markieren), zum kopieren in die zwischenablage dann enter drücken...

 

[kuzdu]

Die hijacktis Autologfile-Auswertung melded übrigens, das exe'n vom Panda-Antivirus nicht am originalen Platz sind- Hast du bei der Installation mal was am Pfad gescharubt? Ansonsten lösche doch mal den Panda-Antivirus.

Also du hast voll ins Schwarze getroffen.
Erst habe ich versucht Panda zu deinstallieren (aber das Menu zum Deintallieren hat sich immer geschlossen), als ich dann auch keine Uninstall.exe finden konnte (obs vom Virus jetzt weggelöscht wurde oder ob ich zu blöd zum Gucken war, steht wohl in den Sternen).

Jedenfalls habe ich die "Auto-Panda-Protection" geschlossen und optisch geht wieder "alles".

Dankeschön für die Hilfe, werde Panda jetzt deinstallieren und mal gucken ob noch was mit meinen Computer ist.

Dazu dann noch ein Frage, wie groß ist die Wahrscheinlichkeit, dass das Virus Hintertüren eingebaut hat oder etwas in der Art? Oder kann man sowas nie genau sagen?
Weil i-wie habe ich das Gefühl, dass das Virus so "relativ" einfach zu besiegen war.

greetz

Kuzdu

 

[IsNull]

na bitte, gern geschehen

Edit: Sicher kann man nie sein. Kommt halt einfach auf den Autor an Sicher ist nur formatieren.

Gruss
IsNull

 

[Xalon]

Vielleicht wars gar kein Virus sondern Panda das den scheiß gemacht hat?

 

[Bam]

Original von kuzdu

Die hijacktis Autologfile-Auswertung melded übrigens, das exe'n vom Panda-Antivirus nicht am originalen Platz sind- Hast du bei der Installation mal was am Pfad gescharubt? Ansonsten lösche doch mal den Panda-Antivirus.

Also du hast voll ins Schwarze getroffen.
Erst habe ich versucht Panda zu deinstallieren (aber das Menu zum Deintallieren hat sich immer geschlossen), als ich dann auch keine Uninstall.exe finden konnte (obs vom Virus jetzt weggelöscht wurde oder ob ich zu blöd zum Gucken war, steht wohl in den Sternen).

Jedenfalls habe ich die "Auto-Panda-Protection" geschlossen und optisch geht wieder "alles".

Dankeschön für die Hilfe, werde Panda jetzt deinstallieren und mal gucken ob noch was mit meinen Computer ist.

Dazu dann noch ein Frage, wie groß ist die Wahrscheinlichkeit, dass das Virus Hintertüren eingebaut hat oder etwas in der Art? Oder kann man sowas nie genau sagen?
Weil i-wie habe ich das Gefühl, dass das Virus so "relativ" einfach zu besiegen war.

greetz

Kuzdu

fport zeigt hintertürchen an
zumindest die offenen ^^

 

[Clickme]

Eventuell auch mal Trillian updaten
http://www.heise.de/newsticker/meldung/89117

 

[lightsaver]

ich finde es interessant, dass panda da ein problem hat. so wie es aussieht hast du dir ein verzeichnis erstellt (allstar programme) in das du alles reininstallierst. so mache ich das im prinzip auch und hab damit noch nie irgendein problem gehabt. ich würde mich in diesem fall xalon anschließen und eher darauf tippen, dass du gar keinen schädling drauf hattest.

 

[kuzdu]

... xalon anschließen und eher darauf tippen, dass du gar keinen schädling drauf hattest.

Das ist gut

Danke für den Link @ Clickme

Und natürlich herzlichen Dank an alle Anderen die mir so schnell/freundlich und kompetent geholfen haben.

Okay jetzt hab ich auch genug geschleimt

gn8

Kuzdu