Wurm/Trojaner???

[Hadjy]

Hallo,
folgendes Problem habe ich seit heute abend.
Als ich von der Arbeit kam und den Rechner einschaltete, kam mir so einiges merkwürdig vor.

- mp3-Format wird nicht unterstützt (egal welcher Player)
- wave Format wird nicht unterstützt
- eine Minute nach dem Hochfahren -> Taskleiste, bzw. einige geöffnete Ordner blitzen auf einmal im WIN 98-Gewand auf und wieder zurück
- daraufhin ist meine USB Soundkarte weg (MEDUSA USB)
- Ton funzt aber
- im USB Soundtreiber unten neben der Uhr fehlt mir dann auch ein Reiter (der mit den Lautstärken fehlt dann)

So, nun seid ihr dran, ich kann nicht mehr!

Danke euch

[CarlosCM]

Was hast du gestern/heute morgen alles angestellt, welche Firewalls/Antiviren benutzt du, war der Rechner für die Zeit an, hat noch jemand drauf Zugang, reden wir hier von WinXP oder Vista?

[Hadjy]

Sorry, dass so viele Fragen offen blieben, hatte gestern nur die Schn....e voll.
Also, ich habe morgens nur den Rechner für 10 min angehabt, um die morgendlichen Surfgewohnheiten nach zugehen. Und ich bin aus dem Alter raus, offensichtliche Virenseiten auf zusuchen.
Zugang hätte meine Frau, aber sie war nicht am Rechner.

Ich benutze natürlich noch XP SP2, habe in Sachen Viren und so den Avast.

Ich habe gestern abend auch AdAware mal laufen lassen, Spybot ebenfalls.
SpyBot hat auch eine Menge gefunden, aber danach war es weg, habe auch im TEMP die entsprechenden Ordner inkl. Dateien gelöscht.

Es sah auch immer so auch, als würde irgendein Prozess dafür verantwortlich sein, wie ich schon schrieb, Taskleiste und einige geöffneten Fenster blinkten kurz im WIN 98 Design auf und nach einer Sekunde sahen sie FAST wieder normal aus. Konnte aber im Taskmanager nichts ausmachen.

Momentan sieht es auch so aus, als hätte sich das wieder erledigt. Weil ich bis jetzt noch eine Soundkarte habe *gg* laut Systemsteuerung. Und an der Taskleiste hatte sich bis jetzt auch noch nichts getan.

Ich poste mal mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 07:22:15, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Tech\Wheel Mouse\5.3\MOUSE32A.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RunDll32.exe
F:\progs\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system\CmSNXeye.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
F:\Download\FixBlast.exe
C:\Dokumente und Einstellungen\Hadjy\Desktop\Proggs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.morefungaming.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe "
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [Steam] "f:\progs\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1169883453421
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: T-DSL Manager (TDslMgrService) - Unknown owner - C:\Programme\T-DSL Manager\DslMgrSvc.exe (file missing)

Mit dieser Sache komm ich auch nicht klar:

C:\WINDOWS\system\CmSNXeye.exe

So, ich hoffe mir kann jemand helfen, aber vielleicht ist es auch schon wieder weg!

Hadjy

[CarlosCM]

http://www.file.net/process/cmsnxeye.exe.html

Sieht eigentlich ganz normal aus. Hat nur Spybot was gefunden, nicht der Antivirus. Ist bei dir System Restore vielleicht an?

[Hadjy]

Also SpyBot und AdAware haben was gefunden, der Virenscanner von Avast hat mir gestern zu lange gedauert. Deswegen noch nich durch.
System Restore ist an, hatte ich auch ma eine Woche zurückgesetzt.

[CarlosCM]

Mach den System Restore aus, geh über Safe Mode ins Windows und durchsuche alles noch einmal genau durch (hohe Heretics Einstellungen, wenn verfügbar). Wenn du dann nichts findest, sollte dein Rechner sauber sein.

[Hadjy]

Dank dir, werd ich machen!

[Hadjy]

Sorry Jungs für den Doppelpost, aber hätte ich editiert, hätte es niemand gefunden.

@Carlos, damals hatte dein letzter Tip funktioniert, aber dieses Mal nicht.

Ich habe wieder das Problem, das nach 1 Minute nach dem WindowsStart die Soundkarte weg ist. Und das auch ab und an schlagartig das Design vom XP wechselt, von Normal XP zu win98.
Blinkt kurz auf und wechselt wieder zurück. Aber nur in manchen Explorerfenstern und auch nur ab und an.
Hatte auch eine Systemrestore gemacht, nichts.
Danach Systemrestore aus und im SafeMode gescannt, nur eine Kleinigkeit gefunden, gefixt und reboot.

Nothing!

Kann mir jemand helfen?

[Ferrari F40]

Selbst ein-Tag-später Doppelposts sind keine Doppelposts mehr, also keine Sorge. :belehr:

Hattest du damals denn ein für den Fehler verantwortliches Programm gefunden?

[Hadjy]

Nein nicht wirklich, ich hatte damals zu guter letzt SpyBot SD laufen lassen und am Pfad gesehen, wo das Problem war...lauter kleine Anwendungen im Sys32 Ordner, zb. Ad.exe, aa.exe etc.
Die waren/sind dieses Mal wieder am Start. Aber kommen immer wieder. Ich scanne grad bei Housecall, aber ob der mir helfen kann?