Hallo,

ein Bekannter von mir hat mir sein Notebook wegen Virenbefall in Behandlung gegeben. Da ich keine Lizenz für ein Antivirenprogramm habe, habe ich verschiedene Testversionen ausprobiert (G-Data. Kapersky, Antivir-PE).
Soweit so gut, habe ca. 1600 Einträge (meistens Baegle) gefunden und gelöscht und zu guter letzt Antivir und die Kerio Personal Firewall installiert sowie alle Windows-Updates eingespielt. Auch Spybot S&D habe ich drüberlaufen lassen.

Jetzt scheint alles sauber zu sein, zumindest werden keine Viren mehr gefunden. Trotzdem ist die Tastenbelegung noch verdreht. Alle Tasten auf der rechten Seite sind mit anderen Zeichen belegt, auf der "M"-Taste liegt bspw. die "0".
Wenn ich im abgesichterten Modus boote, ist die Belegung normal. Ich habe schon versucht das Tastaturlayout in der Sys-Steuerung auf Deutsch(IBM) umzustellen und die Tastatur aus dem Gerätemanager gelöscht und neu installiert. Kein Ergebnis.

Da es nicht mein Rechner ist, möchte ich ihn nicht neu aufsetzten. Was kann ich noch probieren?

Mach mal ein HiJackThis Log und poste das.

Logfile of HijackThis v1.99.1
Scan saved at 14:53:04, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marco Valeri\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: (no name) - {C05A3928-E4E7-F74B-6647-16538551486E} - C:\DOKUME~1\MARCOV~1\ANWEND~1\INSIDE~1\Biaswipe.exe (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F608EEA7-46FF-4FDE-85C3-3B0C9BB4247E}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

paul.muad.dib[/POST]']Hallo,

ein Bekannter von mir hat mir sein Notebook wegen Virenbefall in Behandlung gegeben. Da ich keine Lizenz für ein Antivirenprogramm habe, habe ich verschiedene Testversionen ausprobiert (G-Data. Kapersky, Antivir-PE).
Soweit so gut, habe ca. 1600 Einträge (meistens Baegle) gefunden und gelöscht und zu guter letzt Antivir und die Kerio Personal Firewall installiert sowie alle Windows-Updates eingespielt. Auch Spybot S&D habe ich drüberlaufen lassen.

Jetzt scheint alles sauber zu sein, zumindest werden keine Viren mehr gefunden. Trotzdem ist die Tastenbelegung noch verdreht. Alle Tasten auf der rechten Seite sind mit anderen Zeichen belegt, auf der "M"-Taste liegt bspw. die "0".
Wenn ich im abgesichterten Modus boote, ist die Belegung normal. Ich habe schon versucht das Tastaturlayout in der Sys-Steuerung auf Deutsch(IBM) umzustellen und die Tastatur aus dem Gerätemanager gelöscht und neu installiert. Kein Ergebnis.

Da es nicht mein Rechner ist, möchte ich ihn nicht neu aufsetzten. Was kann ich noch probieren?

Nur mal so: Hatte dein Bekannter keine AntiVirus/Firewall Software aufem Rechner ? Also 1600 Einträge alleine an Viren ist schon beträchtlich.
Ganz ehrlich: Hätte ich keinen Bock drauf. Entweder du gibst ihm das Teil zurück und klärst ihn mal über Viren auf, dann kann er sich den Spass mit der Neuinstallation selber machen. Oder nimm von ihm bissel Kohle und mach es selber. Die Kohle soll dich nicht reicher machen, sondern ihn ärmer. Hab ne Zeit lang auch für Freunde ihre selbstzerstörten Rechner wieder geflickt. Langsam hatte ich das Gefühl denen war ihr Rechner scheissegal, da sie ja wussten, dass ich ihn wieder hinbekommen werde. Nach relativ kurzer Zeit habe ich dann Geld dafür verlangt und .....schwupps..... schon achteten sie selber auch darauf, dass das Teil länger läuft.
Den meisten Leuten kannst du nur mit Geld Sachen begreiflich machen. ;)

krasse leistung. :biggrin:

neuinstallation wäre mit sicherheit die einfachere wahl solange du keinen brauchbaren virenjäger und malware killer auftreiben kannst.

den saustaul von hand auszumisten kann gerne ne woche dauern...

€: ich nutze immer spybot, ad-aware und neuerdings antivir. letzteres findet man ganz oft auf zeitschriften mit einer ~1/2 jahres lizenz. die ersten beiden sind kostenlos saugbar. das komplett paket von norton habe ich gekillt. der scheiß geht nur noch aufn sack und verbreitet mehr terror als das zeug, was es bekämpfen soll. :down:

Der Gast war ich, konnte meinen Benutzernamen nicht eintippen.

Natürlich werde ich ihm was dafür abknöpfen, kenne ihn ja nur um ein paar Ecken.

KinGGoliAth[/POST]']krasse leistung. :biggrin:


Das beste kommt erst noch: Vor etwa einem Jahr hatte ich den Rechner von seinem Bruder und der sah genauso aus :eek:
Ob es ein Dau-Gen gibt?

Ich habe die laut Auswertungstool problematischen HijackThis Einträge gefixt, trotzdem leider keine Besserung.

paul.muad.dib[/POST]']Das beste kommt erst noch: Vor etwa einem Jahr hatte ich den Rechner von seinem Bruder und der sah genauso aus :eek:
Ob es ein Dau-Gen gibt?


gibt es ganz sicher.

hier mußt du abwägen, was dir wichtiger ist.
wenn du geld brauchst erzählst du ihm nix und ziehst ihn immer wieder ab, wenn er immer wieder zu dir gelaufen kommt mit seiner verseuchten kiste. :biggrin:
oder du klärst ihn auf und hast dann deine ruhe, aber dafür keinen treuen kunden mehr. ;)

Ich kann nichts auffälliges erkennen am HJT-Log.

Probier's mal hiermit: http://www.sysinternals.com/Utilities/RootkitRevealer.html (DL Link ganz unten)
Vielleicht geht's ja mit unfairen Mitteln zu...

Zweite Möglichkeit:
Die Dateien für's Keyboard sind defekt/manipuliert. Ich habe im Gerätemanager die Treibernamen rausgefischt und alle dazugehörigen .inf Dateien von der XP-SP2 CD extrahiert und in ein Archiv gepackt. Entpacke das in dein Windowsverzeichnis, bzw. vergleiche diese Dateien mit deinen.

Download: Keyboard Files XP-SP2 (http://tinyurl.com/qehzf)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\OfflineDetectionPending 08.05.2006 17:28 4 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 08.05.2006 17:27 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 08.05.2006 17:27 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\LastTraceFailure 08.05.2006 17:27 4 bytes Data mismatch between Windows API and raw hive data.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP169\A0133265.exe 02.02.2006 19:26 18.46 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP169\A0133269.exe 02.02.2006 19:26 18.46 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP169\A0133272.exe 02.02.2006 19:26 18.46 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP169\A0133285.exe 27.11.2005 19:02 9.97 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP170\A0133369.dll 05.05.2006 02:27 14.98 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP177\A0160267.exe 05.01.2006 17:23 592.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\S ystem.EnterpriseServices.dll 08.05.2006 08:57 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\S ystem.EnterpriseServices.Wrapper.dll 08.05.2006 08:57 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 08.05.2006 17:28 64.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\WuRedir\9482F4B4-E343-43B6-B170-9A65BC822C77\wuredir.cab.bak 08.05.2006 04:09 6.99 KB Visible in Windows API, but not in MFT or directory index.

So, habe mal den Log vom RKR gepostet. Die Datein in "c:\system volume information" wurden vom Virenscanner während des Scans durch RKR gefunden und gelöscht.

Das Überschreiben der Tastatur-Einstellungen hat leider auch nichts geholfen.

Was passiert wenn Du die Tastatur auf englisch stellst, ändert sich was?

Wobei ich mir nicht wirklich vorstellen kann dass Schadcode dafür verantwortlich ist. Welchen Nutzen zieht man daraus den User zu ärgern. Meist will derartige Software möglichst unerkannt und lange im Hintergrund verweilen.

Notebooks kann man meist via spezieller Funktionstasten umstellen, wie z.B. Zehnerblock aktivieren oder ähnliches. Dabei wird das Tastaturlayout mehr oder weniger von der Hardware geändert. Schonmal daran gedacht?

Das gibt's nicht. Da hatte ich wohl echt ein Brett vorm Kopf. Es war tatsächlich eine Art Num Lock Taste. Und ich suche hier ewig rum :uhammer:

Naja, damit wäre das Problem geklärt. Vielen Dank für deine Hilfe.

edit: Wenigstens hatte die Suche den netten Nebeneffekt, dass ich die letzten infizierten Datein aufgespürt habe.