Guten Abend liebe Leute

ich habe hier ein total uriges Problem auf einem XP-Rechner

Der Rechner macht alle 10 - 15 sekunden ein Geräusch, als wenn man mit einer alter Camera nen Photo macht

Also von Hand aufziehen auslösen und wieder aufziehen ..die "alten" Photografen kennen das Geräusch bestimmt

Rechner ist vor 2 Wochen frisch gemacht worden

1200 AMD

1 GByte RAM

SB Live

GeFo2 MX GraKa

Realtek NIC

Das Geräusch kommt aus den Soundkarten-Lautsprechern ...zieht man diese ab, ist das Geräusch weg

Irgendwer eine Idee?

Jau. Mal bitte den Rechner mit Hijackthis scannen und das Log posten. Könnte ja ein kleines heimlich gestartetes Programm sein.

Logfile of HijackThis v1.99.1

Scan saved at 19:38:27, on 03.05.2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\ISTsvc\istsvc.exe

C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe

C:\programme\180solutions\sais.exe

C:\WINDOWS\wxnokh.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe

C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\WINDOWS\System32\devldr32.exe

C:\Programme\Internet Explorer\iexplore.exe

D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iST Service] C:\Programme\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [XVN5A] C:\WINDOWS\wxnokh.exe

O4 - HKLM\..\Run: [internet Optimizer] "C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe

O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpb.exe

O4 - HKLM\..\Run: [mzsvuj] C:\WINDOWS\mzsvuj.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [XV÷h$vùõš/‚²ÂÆßfÃNC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\wxnokh.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll

O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)

O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - h**p://sat1.midasplayer.de/midasa.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111095026348

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - h**p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_download.cab

O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - h**p://www.xs4all.nl/~kuhljf/nl.exe

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.service-url.de/InstallationsAssistent.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{1BAF82F4-377D-4902-BD46-29BCF4A20346}: NameServer = 217.237.149.161 217.237.151.225

O17 - HKLM\System\CS1\Services\Tcpip\..\{1BAF82F4-377D-4902-BD46-29BCF4A20346}: NameServer = 217.237.149.161 217.237.151.225

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Bitte sehr

Ich denke 1 Tool habe ich schon entdeckt ...

was ist denn noch alles gefährlich??

AVEN:

Ich hab die Links in dem Log mal entschärft...

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\ISTsvc\istsvc.exe

C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe

C:\programme\180solutions\sais.exe

C:\WINDOWS\wxnokh.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe

C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\WINDOWS\System32\devldr32.exe

D:\HijackThis.exe

Also, oben mal deine Liste der laufenden Prozesse, um die gekürzt, die ich kenne, oder die bei mir auch laufen.

Interessant sind da natürlich die

C:\WINDOWS\wxnokh.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\nvsvc32.exe

weil die im Windowsverzeichnis liegen.

Und die hier sehen für mich auch komisch aus:

C:\Programme\ISTsvc\istsvc.exe

C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe

C:\programme\180solutions\sais.exe

Da musst du natürlich jetzt wissen, welche zu welchem Programm gehören.

Lass dir am besten von allen oben mal die Eigenschaften anzeigen und schau mal nach, ob es dazu noch weitere Informationen gibt.

Ansosnten kann ich nur raten,

Virenscanner installieren und updaten, einen Komplettn Virenscan durchführen

Soviel von meiner Seite dazu

Gruß

Ramses

Aua...

Das System läuft noch?

O4 - HKLM\..\Run: [internet Optimizer] "C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe"

http://www.sophos.de/virusinfo/analyses/trojdlucaj.html

C:\WINDOWS\wxnokh.exe

überprügen, ich halte es für verdächtig.

O4 - HKLM\..\Run: [XVN5A] C:\WINDOWS\wxnokh.exe

O4 - HKLM\..\Run: [internet Optimizer] "C:\Dokumente und Einstellungen\Rea\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe

O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpb.exe

O4 - HKLM\..\Run: [mzsvuj] C:\WINDOWS\mzsvuj.exe

hoch verdächtig.

O4 - HKLM\..\Run: [XV÷h$vùõš/‚²ÆßfÏNC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\wxnokh.exe

ebenso.

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll

http://www.trojaner-board.de/archive/index.php/t-16125.html

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

entfernen

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

Sehr merkwürdiges Zeug, im Zweifel weg damit.

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...06_download.cab

O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.xs4all.nl/~kuhljf/nl.exe

O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.service-url.de/Insta...nsAssistent.ocx

Sieht böse nach diversen Browserhijackern aus.

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

Verdacht auf: Trojan-Clicker.Win32.Agent.ac

Die Geräusche könnten von dem Popupstopper stammen, da kann man pro geblocktes Popup ein Geräusch reindefinieren. http://www.panicware.com/product_psfree.html

Somit schaukeln sich hier vielleicht Adware-Popups und Popublocker hoch.

Meine Meinung zu dem Ganzen: entweder mit viel Zeit drangehen und das System säubern, ohne sicher zu sein, dass das ganze wieder sauber und stabil laufen wird oder: format c:

Noch ein kleiner Nachtrag aus Google:

C:\programme\180solutions\sais.exe

Das ist Spyware, Informationen dazu gibbet HIER

C:\Programme\ISTsvc\istsvc.exe

Das ist Spyware, Informationen dazu gibbet HIER

Also für zwei Wochen doch schon ein beachtlicher Erfolg an Spyware auf deinem Rechner :uli

Soviel von meiner Seite dazu

Gruß

Ramses

zum glück ist das nicht mein rechner

ok ..werde ich mir dann mal am freitag bisschen zeit nehmen für den rechner

verstehe ich echt nicht, wo sich die immer son ******* einfängt

verstehe ich echt nicht, wo sich die immer son ******* einfängt

Vielleiht im Internet??? :beagolisc

verstehe ich echt nicht, wo sich die immer son ******* einfängt

Statt Internet Explorer mal einen alternativen Browser verwenden? Firefox ist eine nette Alternative.

Mit Spybot Search & Destroy das System immunisieren.

Das Antispywaretool Beta von Microsoft ist auch sehr nett zur Immunisierung im Hintergrund.

Die wxnokh.exe hört sich für mich nach aurora an. Hast Du ab und an auch ein paar kleine popup mit Titel Aurora? Dannexistiert vielleicht auch ne nail.exe im Systemroot. Hartnäckigst.

Hier die grafische Auswertung des geposteten HiJackThis-Logfiles via www.hijackthis.de:

http://www.hijackthis.de/logfiles/203d95818795f0be66de341f898f9421.html

Mein Tip: Neuinstallation. Alles andere ist bei dieser Masse an Malware nur Zeitverschwendung.

Dann unbedingt:

- Regelmaessige Windows Updates durchfuehren

- Immer aktuellen Virenscanner nutzen (Updateintervall: minimal taeglich, besser stuendlich)

- Keine Administratorberechtigungen zum normalen Arbeiten und Surfen verwenden: eingeschraenkten Benutzer anlegen bzw. Administrator-Berechtigungen entziehen und das Administrator-Kennwort aendern

- Alternativprodukte zum IE (Firefox, Mozilla, Opera, ...) und Outlook/Outlook Express (TheBat, Pegasus, Eudora, AK-Mail, ...) nutzen

- Bei Analog/ISDN-Verbindung ueber eine dauerhafte Sperre von 0190/0900 beim Provider nachdenken und ggfls. umsetzen lassen (einmalige Kosten ca. 10 Euro)

- Und ganz wichtig: <gebehtsmuehle>Nicht alle Links und auch keine Anhaenge unaufgeforderter Emails oeffnen</gebehtsmuehle>

Mal abgesehen davon, dass das System wohl eh hinüber ist....

Das beschriebene Geräusch ist höchstwahrscheinlich "start.wav" - dieser Ton ist in einer Standardinstallation dem Punkt "Navigation beginnen" (zu finden im Abschnitt "Windows-Explorer" unter Systemsteuerung/Sounds) zugeordnet, und erklingt immer dann, wenn eine Explorer- oder Internet Explorer-Seite sich fertig aufgebaut hat.

Im Zusammenhang mit der beschriebenen Malware könnte es sich um (mindestens) ein verstecktes IE-Fenster handeln, das mit einer Reload-Funktion arbeitet.