Hallo zusammen,

seit ein paar Wochen ertönt auf meinem Computer in einem Abstand von ca 15. Minuten eine Melodie, die ich am ehesten einem Computerspiel zuordnen würde. Sie wiederholt sich und läuft dann ca. 1 min. Zwischenzeitlich erklang eine andere Melodie und seit gestern ist dann eine nervtötende Werbung für Travian (Browsergame) zu hören. Soweit ich es feststellen konnte, geschieht das phasenweise und zumeist am Abend.
Ich spiele weder Browsergames, noch andere Computerspiele. Der Sound kommt auch wenn alle Browserfenster geschlossen sind, resp. kein Programm geöffnet ist.
Spywaretools konnten keine Malware finden.

Ich hoffe, mir kann jemanden helfen.
Viele Grüsse
Andreas

*räusper* hast du denn schonmal im Tastmanager nachgeprüft was da alles läuft? Das wäre wichtig.
Wenn nicht kann es auch sein das du dir einen Trojaner, Wurm oder sonstiges eingefangen hast.

Mal ein HijackThis log erstellen und posten....

also bislang kann weder ich, noch sonst ein tool etwas finden. ich hab mal den Log erstellt, danke schonmal für die Mühe:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:49:09, on 14.09.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Lenovo\NPDIRECT\tpfnf7sp.exe
C:\Program Files\Lenovo\PM Driver\PMHandler.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\WLTRAY.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe
C:\Program Files\Lenovo\LenovoCare\LPMGR.EXE
C:\Program Files\Lenovo\AwayTask\AwaySch.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ThinkVantage\AMSG\Amsg.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows NT\Accessories\wordpad.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Windows\system32\Taskmgr.exe
C:\Users\Dandy\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TPFNF7] C:\Program Files\Lenovo\NPDIRECT\TPFNF7SP.exe /r
O4 - HKLM\..\Run: [PMHandler] C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [LenovoOobeOffers] c:\swtools\LenovoWelcome\LenovoOobeOffers.exe /filePath="c:\swshare\firstrun.txt"
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
O4 - HKLM\..\Run: [AwaySch] C:\Program Files\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AMSG] C:\Program Files\ThinkVantage\AMSG\Amsg.exe /startup
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ACTray] C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSSE] "C:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [Sony Ericsson PC Companion] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /systray /nologon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10c.ex e (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10c.ex e (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\Windows\system32\IPSSVC.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: PMSveH - Lenovo - C:\Program Files\Lenovo\PM Driver\PMSveH.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: System Update (SUService) - - c:\Program Files\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

--
End of file - 9576 bytes

Hmm, alles grün....
Das würde zumindest bedeuten, dass der Prozess, der für die Mucke zuständig ist, nicht schädlich ist....Vorausgesetzt, diverse malwarescanner finden auch nix.
Versuche mal ]den zuständigen Prozess zu identifizieren.

hab ich gemacht und verdächtige Einträge nachgeschlagen. konnte nix aussergewöhnliches entdecken. danke.

Hi zusammen

habe ein größeres absolut nervtötendes Probelm.
Seit tagen ertönt an meinem Pc einfach und ohne grund eine audio Werbung von Travianer , obwohl nirgens (zumindest nicht sichtbar) ein Browserfenster aufgeht in dem die Flashwerbung läuft. Das schlimme ist das passiert ca. jede Stunde 1 bis 2 mal. Ich bin am Ende mit meinem Latein woran es liegen könnte , hab schon spybot und co versucht , aber es hat nichts geholfen. Die Werbung läuft auch weiter wenn ich Firefox schliese und einen anderen Browser nutze ich nicht. Hat jemand das Problem schonmal gehabt oder weiß Abhilfe.

gruß mo

Öffne mal den Taskmanager (rechtsklick in die Taskleiste ->Task-Manager starten) und suche im Tab "Prozesse" nach Browserprozessen (iexplore.exe für Internet Explorer, firefox.exe bei Firefox, etc.).

Kommt der Sound auch wenn alle Programme (Skype, Browser...) beendet sind?

Und ist das Intervall wirklich regelmäßig? Schau mal in die Aufgabenplanung ob sich da vielleicht ein Programm selbst eingetragen hat. Wenn ja läuft der Prozess ja nur wenn gerade ein Sound abgespielt wird.

PS: Der Thread passt wohl eher in die Kategorie "unerwünschte Programme" und damit zu "Sicherheit und Antivirus".

Zitat:

Zitat von pixelflat

Kommt der Sound auch wenn alle Programme (Skype, Browser...) beendet sind?

Und ist das Intervall wirklich regelmäßig? Schau mal in die Aufgabenplanung ob sich da vielleicht ein Programm selbst eingetragen hat. Wenn ja läuft der Prozess ja nur wenn gerade ein Sound abgespielt wird.

PS: Der Thread passt wohl eher in die Kategorie "unerwünschte Programme" und damit zu "Sicherheit und Antivirus".

nein, die Intervalle sind nicht wirklich regelmässig. Die Aufgabenplanung ist sauber. Keiner der laufenden Prozesse benötigt mehr Ressourcen, wenn die Melodie abspielt.

Ich habe mittlerweile rausgefunden, dass das ein Rootkit ist namens Whistler / Black Internet (durch MBRCheck).

]

@missury: Mach mal einen MBRCheck, dort wurde mein HDD als betroffen von Whistler/ Black Internet gemeldet.

Danke für eure Hilfe. Ich denke, System plattmachen ist die einzige praktikable Variante!?
LG
Andreas

Definitiv. Selbst wenn es Tools zum Entfernen oder ähnliches gibt würde ich neu installieren. Man sieht ja, dass solche Rootkits extrem schwer zu entdecken sind...

Danke für den Hinweis. Ohne hätten wir wohl nächsten Monat noch nach einer Lösung gesucht (im Trojaner-Boards sind halt doch die Malware-Spezis...). Jetzt wo ich die ] des Rootkits gelesen habe würde ich auch unbedingt eine Neuinstallation für missury empfehlen.

Btw: es gibt nur sehr wenige Rootkits für die 64bit Version von Windows. Erst vor 1-2 Wochen wurde afaik das erste überhaupt funktionierende entdeckt. 64bit bietet also nicht "nur" mehr Arbeitsspeicher.

E: Habe beide Threads zusammengefasst. Irgendwie hab ich im Urin, dass demnächst noch ein paar User davon betroffen sein werden.

Ja, habe schon in ein paar anderen Foren ähnliche Beiträge gefunden...