Wie im Betreff schon beschrieben, öffnet sich alle paar Minuten ein kleines Fenster auf dem Desktop und schließt sich innerhalb eines Bruchteils einer Sekunde wieder. Ich kann also nicht erkennen, wobei es sich dabei handelt. Ist nur blöde, weil beim zocken dann die Spiele minimiert werden. Das Problem habe ich erst, seit ich diesen Sasser Wurm hatte. Sicherheitsupdate ist aber mittlerweile drauf und laut AntiVir XP ist mein System sauber. Vielleicht liegts auch an etwas anderem. Für Hilfe, Ratschläge, Vorschläge, etc. wäre ich sehr dankbar.

:bounce:

Hast Du ein Pop-Up-Blocker aktiviert?

Durchsuch mal deinen Rechner hiermit

http://download.freenet.de/download.php?file_id=5981

Original geschrieben von Runzel
Wie im Betreff schon beschrieben, öffnet sich alle paar Minuten ein kleines Fenster auf dem Desktop und schließt sich innerhalb eines Bruchteils einer Sekunde wieder. Ich kann also nicht erkennen, wobei es sich dabei handelt. Ist nur blöde, weil beim zocken dann die Spiele minimiert werden. Das Problem habe ich erst, seit ich diesen Sasser Wurm hatte. Sicherheitsupdate ist aber mittlerweile drauf und laut AntiVir XP ist mein System sauber. Vielleicht liegts auch an etwas anderem. Für Hilfe, Ratschläge, Vorschläge, etc. wäre ich sehr dankbar.

:bounce:
Wär es möglich, daß du einen Schreenshot machen könntest, immerhin kommt es ja regelmäßig wieder ;)
Oder zumindestens eine genauere Beschreibung.

mmm...

Hijackthis (Link in der Signatur) nehmen, scannen, Log erstellen und Log posten ...

Sodele, also ein Screenie geht net, da das Fensterchen ja nur für einen Bruchteil einer Sekunde sich öffnet und dann wieder schließt. Hier ist der Scan von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 15:53:10, on 10.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
E:\logitech tastatur\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\tppaldr.exe
E:\creative sound\AudioHQ\AHQTBU.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\Com\explorer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\Com\explorer.exe
E:\antivir Version 6\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\Com\vnsystask.exe
E:\Opera 7.23\Opera.exe
F:\programme\virenprogramme etc\hijackthis1977\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\logitech tastatur\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "E:\creative sound\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [AudioHQU] E:\creative sound\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\Com\vnsystask.exe" -servicehelper
O4 - HKLM\..\Run: [RunDll32] "C:\WINDOWS\system32\Com\explorer"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RunDll32] "C:\WINDOWS\system32\Com\explorer"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB1F2A39-7F54-4B70-9AE2-2199048C28B6}: NameServer = 145.253.2.81 145.253.2.203


Spybot-Search and Destroy findet auch nix Problematisches.

O4 - HKLM\..\Run: [RunDll32] "C:\WINDOWS\system32\Com\explorer"

Was ist das denn für ein komischer Eintrag? Diese Datei und der Eintrag sind mir sehr suspekt -.-

mmm...

Sephirot
Mir macht da noch ein anderer Eintrag sorgen:


Im Taskmanager selber:
C:\WINDOWS\system32\Com\explorer.exe
C:\WINDOWS\system32\Com\explorer.exe
C:\WINDOWS\system32\Com\vnsystask.exe

Kannst diese Dateien vielleicht mal abschiessen und schauen, was dann nicht mehr geht ... vielleicht kannst du mir die beiden Dateien auch zippen und mailen (Lokadamus@gmx.de Betreff: "3dc - Viren")

Kein normales Programm ruft sich 2x auf und wozu gehört die vnsystask.exe? es gibt einige Trojaner, die diese Datei anlegen, aber in anderen Verzeichnissen, neue Version davon:???: :
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\Com\vnsystask.exe" -servicehelper
O4 - HKLM\..\Run: [RunDll32] "C:\WINDOWS\system32\Com\explorer"
O4 - HKCU\..\Run: [RunDll32] "C:\WINDOWS\system32\Com\explorer"

Original geschrieben von Lokadamus
mmm...

Sephirot
Mir macht da noch ein anderer Eintrag sorgen:
:o hast recht, hab mich durch das "WinVNC" täuschen lassen :(

@Lokadamus: Ich hab dir die Dateien gemailt.

Hab die drei Prozesse auch mal abgeschossen, scheint bis jetzt aber noch alles zu funktionieren. Seltsam.

mmm...

Jetzt wirds konfus:
Die Explorer.exe ist ein komisches Teil, die Expl.exe ist das Install- Teil dafür und besteht aus:
blowfish.dll, wozu auch immer
explorer.exe mit dem Icon eines Ordners
MSWINSCK.OCX mit dem Copyright von 1987 - 1998 bei Microsoft.
Bei der Installation versucht dieses Teil sich in den Ordner %winnt%\System32\Com\ zu installieren, allerdings gibt es diesen Ordner nicht bei Win XP, wodurch sich das Teil bei mir auf den Desktop angelegt hat ;) ...

Die vnsystask.exe ist die Serverkomponente und kommt von RealVNC und vermisst beim Aufruf die VNCHooks.dll. Die VNCHooks.dll findest du wahrscheinlich unter Winnt\Fonts, sollte dies der Fall sein, kannst du in deinem ganzen Windowsordner mal nach der Datei DVLDR32.EXE suchen, bzw. nachschauen, ob noch andere .Exe oder .DLL in deinem Fonts- Ordner sind. Im Fonts- Ordner sind im Normalfall nur Dateien, welche in Word, Excel usw. benutzt werden und die Schriftarten darstellen.
Die VNSystask.exe hat selber irgendwie kein Icon, wenn sie bei mir auf dem Desktop liegt und ist mir so nicht ganz geheuer und du wirst wohl nicht irgendwann VNC installiert haben, oder? ...

D.h. die Dateien einfach löschen, oder wie? Sie scheinen ja nicht notwendig zu sein und falls doch Probleme auftauchen sollten, dann hab ich ja ein backup von diesen.
VNC hab ich imho nicht installiert, zumindest weiß ich nicht mal, um was für eine Software es sich dabei handeln soll. =)

mmm...

VNC (Virtual Network Computing) dient dazu, um Fernwartung zu betreiben. Man kann damit den ganzen Bildschirm der anderen Person sehen und steuern (Maus bewegen, andere Programme aufrufen usw., es ist so, als wäre man direkt vor dem PC, nur die Maus hakt eventuell etwas ;)).
Da diese Dateien an einem ungewöhnlichen Ort liegen, kannst du sie ohne Probleme löschen, diese VNChooks.dll solltest du auch suchen (sichern) und löschen ...

Aso, danke für die Erklärung, sowas hab ich, glaube ich, mal mit nem Kumpel gemacht. Da hab ich dann seinen Desktop gesehen. Ist aber schon lange her (mein System ist mittlerweile auch schon 583 Tage alt). Dann lösch ich mal besagte Dateien und hoffe mal, dass dann alles in Ordnung ist. Ich meld mich dann wieder.
Vorab mal vielen Dank.

mmm...

OK, schau ansonsten nochmal in der Systemsteuerung unter Software nach, ob dort noch ein Eintrag für VNC (RealVNC) ist, wenn ja, deinstallier es mal komplett ...

Nochmals danke. Scheint jetzt alles zu funzen. =)