[Valium]

Hallo Leute,

zurückblickend, fallen mir seit gstern seltsame Sachen auf.
Gestern hat sich mein XBMC einfach so beendet. Ich dachte mir erstmal nichts dabei.

Heute allerdings, ein bissel schlimmer:

Ich war im Bad, und die Freundin kam ganz aufgelöst rein und meinte, an meinem Rechenr bewegt sich die Maus von alleine...

Naja sie beschrieb es folgendermaßen:

"Die Maus hat sich von der mitte nach unten rechts bewegt und dort war ein kleines blaues Fenster." Das Fenster konnte Sie nicht näher beschreiben, da Sie am laptop zu weit davon weg saß.

Ich habe mal ein bissel im Ereignisprotokoll rumgeschnüffelt und nichts gefunden.
Auch der Ressourcen Monitor von Win7 zeigt keine, auf den ersten Blick, verdächtigen Prozesse.

Ich hänge mal ein Hijackthis Logfile mit an:

CODE

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:48:51, on 24.12.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\IR Server Suite\IR Server Tray.exe
E:\Toolz\EVEMon\EVEMon.exe
H:\Programme\Sicherheit\HiJack This\HiJackThis.exe
C:\Program Files (x86)\Firefox\firefox.exe
C:\Program Files (x86)\Firefox\plugin-container.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexbho.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~2\FlashFXP\IEFlash.dll
O3 - Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2011\Antispam32\ieshow.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IR Server Tray] "C:\Program Files (x86)\IR Server Suite\IR Server Tray.exe"
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Device Error Recovery Service (dgdersvc) - Devguru Co., Ltd. - C:\Windows\SysWOW64\dgdersvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files (x86)\FileZilla Server\FileZilla Server.exe
O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: IR Server (IRServer) - and-81 - C:\Program Files (x86)\IR Server Suite\IR Server.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: BitDefender Update Server v2 (Update Server) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (Updatesrv) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\updatesrv.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\vsserv.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7919 bytes

Hier finde ich interresant, das ich bei der Auswertung bei einigen Einträgen folgendes lese:

"Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft."

Allerdings vermute ich, das diese Meldung mit einer gewissen Inkompatibilität mit Windows 7 zusammenhängt, oder?

Was habe ich in letzter Zeit geändert?

Vorgestern ist nur mein neuer Drucker, der Canon MG1650, in mein Netzwerk eingebunden wurden. zusätzlich habe ich die Canon Software von CD installiert.
Des Weiteren habe ich am Router einen Mac Filter aktiv. Außerdem vergibt mein DHCP nur 5 IP Adressen, diese sind weiterhin fest an meine (bekannten) Geräte vergeben.
Somit kann ich eigentlich ein eindringen über das Netzwerk aussschließen.
Im Übrigen konnte ich solche "Vorkommnisse" bisher nur an einen von 2 Rechnern feststellen....

Hier mal zum Abschluß noch relevante Daten meines System und Netzwerk:

Router: Lynksys WRT54GS mit Firmware: DD-WRT v24-sp2 (08/07/10)
Sicherheitssoftware: Bitdefender AntiVirus, Windows Firewall
BS: Win7 64 Bit
Hardware:
Intel Core 2 Duo E8400
P5N32-E SLI
nVidia GeForce GTX 260
4x 1024 MB GEIL (6400)
Thermaltake Toughpower 750Watt


Jemand eine Idee, was hier los ist?

MfG Vali

[Mr. Floppy]

Zitat

"Die Maus hat sich von der mitte nach unten rechts bewegt und dort war ein kleines blaues Fenster."

Hast Du zufällig eine optische Maus? Meine spinnt auch hin und wieder und der Cursor bewegt sich dann langsam in irgendeine Ecke. Da spielt die Mustererkennung verrückt und erkennt eine Bewegung wo gar keine ist. Kurz die Maus bewegen und der Spuk ist vorbei. Was das kleine blaue Fenster sein soll, weiß ich allerdings auch nicht (Mailprogramm, Messenger oder sonst ein Benachrichtigungsfenster).

Ich würde die Sache beobachten und mir vorerst keine Gedanken machen. Passiert ist ja nichts - Dein Medicenter ist abgestürzt und der Cursor hat sich bewegt. Ein Angreifer wäre wohl eher daran interessiert unentdeckt Daten zu klauen, als Programme abzuschießen und die Kontrolle über den Cursor zu übernehmen.

Frohe Weihnachten!

[zwutz]

Doppelpost: http://www.computerb...ad.php?t=833079

[Valium]

Zitat (Mr. Floppy: 24.12.2010, 12:31)

Hast Du zufällig eine optische Maus? Meine spinnt auch hin und wieder und der Cursor bewegt sich dann langsam in irgendeine Ecke. Da spielt die Mustererkennung verrückt und erkennt eine Bewegung wo gar keine ist. Kurz die Maus bewegen und der Spuk ist vorbei. Was das kleine blaue Fenster sein soll, weiß ich allerdings auch nicht (Mailprogramm, Messenger oder sonst ein Benachrichtigungsfenster).

Ich würde die Sache beobachten und mir vorerst keine Gedanken machen. Passiert ist ja nichts - Dein Medicenter ist abgestürzt und der Cursor hat sich bewegt. Ein Angreifer wäre wohl eher daran interessiert unentdeckt Daten zu klauen, als Programme abzuschießen und die Kontrolle über den Cursor zu übernehmen.

Frohe Weihnachten!

Ja eine optische Maus, eine G9 von Logitech am Desktop.
Am Laptop nutze ich ein Funkset von Logitech, das MX3200.
Das blaue Fenster könnte eigentlich nur von Bitdefender was gewesen sein, oder von Xfire.
Beide Programme liefen zu dieser Zeit und sind eigentlich die einzigen die blau sind.


@ Zwutz: Ist das denn verboten? So erreiche ich nunmal mehr Leute die mir vielleicht weiterhelfen können...

[timmy]

Zitat (Valium: 24.12.2010, 12:20)

Allerdings vermute ich, das diese Meldung mit einer gewissen Inkompatibilität mit Windows 7 zusammenhängt, oder?

Mit der Vermutung liegst du richtig.

[Holger_N]

Zitat (Valium: 24.12.2010, 12:38)

@ Zwutz: Ist das denn verboten? So erreiche ich nunmal mehr Leute die mir vielleicht weiterhelfen können...

Ist sicher nicht böse gemeint aber so kann jemand, der hier antworten will und sich vielleicht länger Zeit nähme um etwas Umfangreicheres zu tippen, erstmal da gucken, ob das vielleicht schon einer geschrieben hat oder bevor man hier anfängt zu schreiben kann man gucken, ob das Problem im anderen Thread vielleicht sogar schon gelöst ist.

[Valium]

Ok, alles klar. Hab es auch nicht als bös gemeint aufgefasst, sondern fragend auf was verbotenes gezeigt.
Hätte ja sein können, das man solche "Doppelposts" im Winfuture Forum nicht machen darf, auch wenn sich mir der Sinn dahinter nicht erschließen würde...

nun, im CB Forum sind eigentlich die Meinung ziemlich eindeutig. Großteil tippt schlichtweg auf den Maus Sensor. Mir ist dies ja auch schon das ein oder ander Mal live aufgefallen, wenn ichselbst am Rechner saß.
Da kam es schon vor, wenn die Maus am Rand des Stoff Maus Pad kippte, das ein ähnliches Phänomen auftrat...